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머 리 말 


비루스, 해커，도청，위조 등과 관련하여 오늘의 콤퓨터망들에서 정보보안이 문제로 
되지 않는 때가 거의 없다. 이 책에서는 두가지 중요한 문제를 전제로 한다. 첫째로，콤 
퓨터체계들과 망을 통한 그것들 호상련관이 보다 긴밀해짐으로써 그 체계들을 리용하여 
통신되고 기억되는 정보에 대한 개인들과 기관들의 의존성이 증대되였다. 이것은 또한 자 
료와 자원의 로출을 막고 자료와 통보문의 믿음성을 담보하며 망을 통한 공격으로부터 체 
계를 보호해야 할 필요성을 높이게 하였다. 둘째로，암호화와 망보안학문이 심화되면서 
망보안을 강화할수 있는 응용프로그람들이 개발되여 이미 실천에 리용되고 있다는것이다. 

SHO| 

이 책의 목적은 망보안과 암호학의 리론 및 실천의 두 측면에서 실무적개괄을 주는 
것이다. 이 책의 첫 두개편에서는 망보안능력과 관련한 기본문제들이 암호학과 그리고 
망보안기술에 대한 안내자료와 개괄을 주는 방법으로 취급되였다. 이 책의 뒤편들은 망 
보안실무 즉 망보안을 보장하는데 구현되 여 리용되 고 있는 실제 적 인 응용에 대 하여 취 급 
하고 있다. 취급되는 문제로부터 이 책의 전반내용은 여 러 가지 학문분야를 기초로 삼고 
서술되였다. 특히 이 책에서 론의되는 일부 문제들의 의의에 대하여서는 수론과 확률론 
의 기 초지 식 이 없이는 리해할수 없다. 그럼 에 도 불구하고 이 책은 독자적 으로 내용을 구 
성하는 방향에서 노력을 기울였다. 이 책에서는 필요한 기초수학지식을 주었을뿐아니라 
그 지식을 직관적 으로 리해할수 있도록 하였다. 

이러한 기초지식은 필요한 대목에 주었다. 이런 방법은 책에 포함시킨 자료들이 생 
동하게 리용되 게 하며 책 의 시 작부터 모든 수학지식 을 통털 어 서 간단히 주는데 더 좋을 
것 이 라고 본다. 

독자대상 

이 책은 과학자들과 전문가들을 대상으로 한다. 교재로서 이 책은 대부분의 콤퓨터 
과학，콤퓨터공학，전자공학을 전공하는 사람들의 암호학과 망보안에 대 한 한학기 과정 안 
을 취 급하였 다. 이 책 은 또한 기 본참고서 로도 되 며 자습용으로도 리용할수 있다. 

책의 구성 

이 책 의 4개 편을 간단히 소개하면 다음과 같다. 

1. 전통암호화: 기 밀성 을 위한 전통암호의 리 용을 비 롯하여 전통암호알고리 듬의 구 
체적 인 연구와 설계원리 

2. 공개열쇠 암호화와 하쉬 함수: 공개열쇠 암호알고리 듬의 구체적 인 연구와 설계 원리 . 
이 편에서는 통보문인증부호，하쉬함수의 리용과 수자서명，공개열쇠확인에 대하 
여 서술하였다. 

3. 망보안실천 : Kerberos, X.509v3 확인， PGP, S/MIME, IP Security, SL/TLS, 
SET 등과 같은 중요한 망보안도구들과 응용실례들을 취급하였다. 

4. 체계보안: 신용체 계 와 방화벽의 리 용，비 루스와 침 입 자에 의한 위협과 그에 대 한 



대책을 비롯하여 체계준위에서 보안을 취급하였다. 

더 구체적으로 1장의 마감에 매장에 대한 개괄 그리고 색인과 자주 리용되는 략어， 
참고문헌을 주었다. 매장의 마지막에 문제들과 참고문헌을 주었다. 

교원들과 대학생들들 위한 인테 dl 트봉사 

대학생들과 교원들이 참고할수 있는 이 책과 관련한 Web 페지가 있다. Web 페지는 
PDF (Adobe Acrobat ) 형식에서 이 책에 관계되는 Web 싸이트에 대한 주소를 준다. 또 
한 책 에 관계 되 는 인 터네 트우편목록에 대 한 서 명 정 보가 들어 있다. Web 페지 는 
http ：// www . shore , net /- ws / Security 2 e . html . 이 다. 인 터 네 트전자우편목록은 이 
책을 리용하는데서 의문, 의견，정보를 교환할수 있게끔 설정되였다. 인쇄오유나 다른 
오유를 발견하면 이 책에 대한 고침표목록을 주소 http ：/ www . shore . net /~ ws 에서 
리용할수 있다. 

암호학과 망보안교수를 위한 실습과제 

교원들에게 있어서 암호학이나 보안에 대한 학과목에서 중요한 구성부분은 학생들 
이 손 쉽게 교재의 개념들을 더 공고히 하게 하는 실습과제 혹은 실습과제들의 모임이다. 
이 책은 교수에 실습과제를 결합하도록 상당한 정도의 방조를 제공한다. 교원의 지도서 
에는 실습과제를 구조화하고 할당하는 문제뿐아니 라 교재들에서 주고 있는 광범한 범위 
의 문제들을 담을수 있게 제 안된 실습과제들을 포함한다. 

• 탐색실습과제 : 학생들이 인터네트에서 특정의 주제를 찾아서 보고서를 쓸수 있게 
가르치는 람색과제들의 모임 

• 프로그람작성실습과제: 임의의 가동환경에서 어떤 적당한 언어로 실현할수 있는 
광범 한 범위의 화제거 리를 반영 하는 프로그람작성실습과제 들의 모임 

• 읽기/보고서제출과제 : 매장에서 문헌해제로 주는 론문의 목록으로서 학생들이 읽 
고 간단한 보고서를 작성하도록 과제를 줄수 있다. 

이 책에서 새로운것은 무엇인가 

이 책의 첫판이 나온 다음에도 이 분야에서는 발명과 개선이 계속되였다. 이 책에 
서는 전반부분을 폭 넓게 종합적으로 취급하면서도 이러한 내용들도 포함되도록 노력하 
였다. 이러한 목적에서 첫판을 개정하면서 이 과목을 가르치는 전문가들에게 광범한 심 
사를 의뢰하였다. 그리하여 많은 문제들이 명백해 지고 째이게 되였으며 삽화의 내용들 
도 개선되였다. 그리고 새로운 분야의 문제들이 첨부되였다. 

이 책 의 제 목을 암호와 망보안이라고 하였는데 그것 은 망보안에 서 암호알고리 듬이 
중심적역할을 한다는것을 반영한다. 또한 이 책은 자습용과 교재로 다 사용할수 있도록 
서 술에서 론리 성 을 더 잘 보장하게끔 재 편집하였 다. 또한 교육학적 및 독자의 편리를 
도모하기 위하여 책전반에서 뚜렷한 변화를 주었다. 새로 포함된 중요한 내용은 다음과 
같다. 

• 블로크암호설계의 새로운 론의: 블로크암호구조를 론의하는 3개의 절들에 블로 
크암호설계원리 와 최 근 개 발된 암호들의 특징 을 첨 부함으로써 전통암호법 에 대 
한 전면적고찰이 더 심화되였다. 
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• 추가적인 전통암호화알고리듬의 취급: Blowfish , RC 5, CAST -128 과 같은 최근 
판매 되 는 제 품과 인터네 트표준의 암호화알고리 듬을 취 급한다. 

• 타원곡선암호에 대 한 새 로운 취급: 이것은 공개열쇠암호에서 RSA 와 디피-헬만 
( Diffie - Hellman ) 에 대한 중요한 대 안이 다. 

• 수론에 대한 보다 확장된 취급: 개론이 옹근 한개 장으로까지 확장되였으며 이 
문제들에 대한 리해를 더 명백히 하기 위하여 많은 실례를 주었다. 

• 하쉬부호와 MAC 설계 에 대 한 새 로운 론의 : 통보문인증부호와 하쉬함수의 보안 
과 설계원리 가 첨 가되 였 다. 

• 보충적 인 하쉬함수와 MAC 알고리 듬의 새 로운 범위 : RIPEMD -160 과 HMAC 를 
비롯한 MAC 판매제품과 인터네트표준제품들에서 찾아 보게 되는 최근의 알고리 
듬을 개괄하였다. 

• X . 509범 위 와 새 로운 X .509 v 3 처 리 에 대 한 확장 : X .509 의 공개열 쇠확인법 특히 

판본 3은 많은 제품들과 인터네트표준들에서 새로 찾아 보게 된다. 

• S/MIME 에 대한 새로운 범위: S/MIME 은 상업용보안전자우편의 표준으로 되고 
있 다. 

• IP 보안에 대한 새 로운 장: IP 보안은 가상사설망구축과 인터네트상의 말단대말단 
형보안을 위한 새 로운 표준들의 중요한 모임 이 다. 하나의 옹근 장에 이 중요한 
문제를 담고 있다. 

• Web 보안에 대한 새로운 장: Web 보안은 망보안의 가장 중요한 분야의 하나로 
되였으며 여기서 많은 새로운 문제가 제기되고 있다. 하나의 장에 이 문제를 담 
고 있다. 여기에는 다음과 같은 2개의 주요한 Web 보안표준이 있다. 

o 보안소케트층 ( SSL ) 과 전송층보안 ( TLS ): SSL 은 사실상 모든 열람기와 봉사 
기 제공에 기 초한 Web 보안을 위한 표준이 다. TLS 는 SSL 을 대 신하기 위한 
인터네트표준으로 되고 있다. 

o 보안전자트랜잭션 ( SET ): SET 는 Web 우에서 보안전자상거래용표준으로 출 
현하고 있다. 

• 방화벽 에 대 한 새 로운 장: 방화벽 은 인 터네 트에 련결되 는 싸이트를 보안하는데 
적 합한 제품으로 출현하였다. 

• 새톱게 확장된 교수지원: 이전과 같이 이 책의 모든 문제들에 대한 풀이를 포함 
하는 교원들의 지 도서 이다. 그외 앞에서 이 야기한것 처 럼 학생 들의 실습과제 지 원 
을 주고 있다. 

• 기타 달라 진 내용 

o 전통암호알고리 듬을 위한 X - 통의 설계 에서 중요한 함수들을 취 급한 새 로 
운 절 

n 많은 장들의 참고문헌에 대한 절에서 해당한 Web 싸이트들을 소개하고 있다. 
o 수십개 의 새 로운 자습문제 들이 보충되 였 다. 
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1 장, 소 개 


기관들에서의 정보보안에 대한 요구는 최근 수십년동안에 두가지 중대한 변화를 가 
져 왔다. 자료처리설비가 광범히 리용되기전에 기관들이 중요시한 정보의 보안은 주로 
물리적 및 관리적인 방법(수단)에 의하여 실현되였다. 전자에 대한 실례는 중요한 문서 
를 보관하기 위하여 관건장치된 서류함의 리용이고 후자의 실례는 사람들을 모집할 때 
적용되는 선발절차이 다. 

콤퓨터가 도입되면서 콤퓨터에 기억된 파일들과 기타 정보들을 보호하기 위한 자 
동화된 도구들에 대한 요구가 높아 졌다. 이것은 시분할체계와 갈은 공유체계의 경우 
더욱 심각하였다. 더우기 자료망이나 공중전화상으로 접근할수 있는 체계의 경우 더 
첨예 하였다. 

자료보호와 해커들의 칩입에 대응하여 설계된 도구일반에 대한 총칭이 바로 콤퓨터 
보안이 다. 

보안에 영향을 준 두번째 중요한 변화는 분산체계의 도입과 콤퓨터와 말단사용자사 
이，콤퓨터와 콤퓨터사이에 자료전송을 위한 망 및 통신시설의 리용이다. 

전송중에 있는 자료보안에 망보안대책이 필요하다. 실제적으로 모든 봉사기관，정부 
기관，과학기관들의 자료처리기들이 호상접속되여 하나의 련결된 망을 이루기때문에 망 
보안이라는 말을 잘못 인식할수도 있다. 그러한 망모임을 흔히 인터네트라고 한다. 

보안의 이 두 형식에는 명백한 경계가 없다. 실례로 정보체계들에서 공격의 가장 공 
개된 형태의 하나는 를퓨터비루스이다. 비루스는 그것들이 들어 있는 어떤 디스크가 콤 
퓨터에 설치되면 물리적으로 어떤 체계에 침습한다. 비루스는 인터네트를 통하여 전염될 
수도 있다. 어느 경우에나 일단 비루스가 어떤 체계를 전염시키면 콤퓨터안의 보안도구 
들로써 비 루스를 검줄하고 제거해 야 한다. 

이 책은 인터네트보안 즉 정보전송이 동반하는 보안침입들의 검출，예방，탐지， 
제거에 집중한다. 이것은 모든 가능성을 포함하는 넓은 의미의 주제이다. 이 책에서 
취급하고 있는 령역을 독자들에게 알려 줄 목적으로 보안침입에 대한 다음의 실례를 
고찰한다. 


1. 사용자 A 가 사용자 B 에게 어떤 파일을 전송한다. 그 파일은 로출되여서는 안될 
중요한 정보(실례로 로임명세)를 담고 있다. 그 파일을 읽을 권리가 없는 사용 
자 C 가 자료의 전송과정을 감시 하고 있다가 전송중에 그 파일의 복사물을 얻을 
수 있다. 

2. 망관리 자 D 는 자기 가 관리하는 어 떤 콤퓨터 E 에 통보를 보낸다. 통보문은 그 
콤퓨터 에 대 한 접 근이 허 락된 몇명의 사용자들의 신원을 포함하여 인증파일을 
변경시킬것을 지령한다. 그런데 그 통보문을 사용자 표가 도중에서 가로 채여 통 
보문의 내용을 변경，첨가，삭제하고 다시 E 에 보낸다. E 는 관리자 D 로부터 온 
것으로 생각하고 받으며 그대로 인증파일을 변경시킨다. 

3. 통보문을 중간에서 꺼내보기보다 사용자 묘는 필요한 기입으로 자기의 통보문을 
만들고 그것 을 관리 자 D 로부터 보내온것 처 럼 E 에 전송한다. E 는 그 통보문을 
관리자 D 로부터 온것으로 간주하고 그의 인증파일을 변경시킨다. 
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4. 어떤 직원이 경고없이 해고되였다. 관리자는 그의 등록자리를 무효로 하는 통보 
문을 봉사기체계에 보낸다. 무효가 설정되면 봉사기는 그 실행에 대한 확인으로 
서 그 직원의 파일에 통지를 보낸다. 그 직원이 통보문을 가로 챌수 있으며 중 
요한 정보들을 처리하는 봉사기에 제일 늦게 접근할수 있도록 상당한 기간지연 
시킬수 있다. 그후에야 통보문이 전달되고 작용이 일어 나며 확인을 알린다. 직 
원의 행위는 상당한 기간은 알아 차릴수 없을수 있다. 

5. 어떤 통보문이 고객으로부터 주식거간군에게 여러가지 트랜잭션처리에 대한 지 
령 과 함께 보내 진다. 그후 투자가 실패하면 고객 은 그 통보문을 보낸것 을 부인 
한다. 

이러한 실례는 가능한 보안침입의 형태들을 다 보여 주지는 못하지만 망보안과 관련 
되는 내용들의 범위를 보여 준다. 

인터네트보안은 매혹적 이며 매우 복잡하다. 그 리유는 다음과 같다. 

1. 망과 통신을 포괄하는 보안은 초학자들에게는 그리 단순하지 않다. 요구조건들 
이 복잡하지 않은것 같다. 즉 주요한 보안봉사에 대한 대부분의 요구들은 명백 
한 단어들인 기밀성, 인증，비거부, 완정성으로 주어 질수 있다. 이 요구들에 
부합되게 리용되는 꾸밈새들은 매우 복잡하며 그 리해에서 어느 정도 미묘한 추 
리가 있게 된다. 

2. 특정의 보안꾸밈새 혹은 알고리듬을 개 발하는데서 늘 가능한 대책들을 다 고려 
하여 야 한다. 많은 경 우 대 책안를은 완전히 다른 각도에 서 그 문제 를 고찰하여 
꾸밈새에서 예측 못했던 약점들을 찾아 내는 방법으로 구상한다. 

3. 우와 같은 원 인 으로 하여 특정 의 봉사들을 제 공하기 위한 수속들은 흔히 반직 관 
적 이 다. 이 러한 정교한 대책을 필요로 하는가는 특정의 요구로부터는 명백치 않 
다. 각종의 대응수단들을 고려할 때만이 해 당대 책의 적용이 의미를 가질수 있다. 

4. 각이한 보안꾸밈 새 를 설계한 다음에 는 그것 을 어 디 에서 리 용하겠는가를 결심하 
는것이 필요하다. 이것은 물리적배치에서의 의미 (즉 망의 어떤 점들에서 어떠한 
보안꾸밈새 들이 필요되는가)에서 나 론리적의미 (즉 TCP / IP 와 같은 방식의 어떤 
층이 나 층들에 꾸밈 새 들이 놓이 는가) 에 서 성 립한다. 

5. 보안꾸밈새는 흔히 몇개의 알고리듬 혹은 규약을 포함한다. 그것들은 또한 대 방 
들이 어떤 비밀정보를 가질것을(실례로 비밀열쇠) 요구하는데 이때 그 비밀열쇠 
의 보호，배송，창조에 대한 문제가 제기된다. 여기에는 또한 그 보안꾸밈새를 
개발하는 과제를 복잡하게 만들수 있는 통신규약에 대한 신뢰성문제도 있다. 실 
례 로 보안꾸밈 새 의 기 능개 선 이 송신자로부터 수신자에 로의 통보문의 전송시 간에 
대 한 시 간제 한을 요구한다면 가변적 이고 예 측할수 없는 지 연을 가지는 임의의 
규약 또는 망에 서 는 그러한 시 간제 한이 무의 미 해 질 수 있 다. 그러 므로 고려 해 야 
할 문제들이 많다. 

이 장은 다음 장들에 서 내 용들을 구성하는 주제 문제 에 대 한 일 반적개 괄을 준다. 여 
기서는 망보안봉사와 꾸밈새의 필요성을 야기시키는 공격의 형태에 대한 론의로부터 시 
작한다. 또한 보안봉사와 꾸밈새 를 고찰할수 있는 일 반적 인 모형 을 전개한다. 
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1.1 공격，봉사 및 꾸임새 

어떤 기관의 보안요구에 성과적으로 접근하여 여 러가지 보안제품과 방약을 선택하기 
위하여 보안을 담당한 관리자는 보안요구들을 정의하고 그 요구를 만족시킬수 있는 방법 
들을 특징지을수 있는 어떤 체계적인 방법이 필요하게 된다. 하나의 방법은 다음과 갈은 
정보보안의 세 측면을 고찰하는것이다. 

• 보안공격 : 어떤 기관이 가지고 있는 정보의 보안을 위태롭게 하는 임의의 공격 

• 보안꾸밈새 : 보안공격으로부터 검출, 방어，회복을 위해 설계된 꾸밈새 

• 보안봉사: 어떤 기관의 자료처리체계와 정보전송의 보안을 개선하는 봉사. 그 
봉사는 보안공격의 방지를 목적으로 하며 또 그것들은 봉사를 제공하기 위한 하 
나이상의 보안꾸밈새들을 리용한다. 

봉사 

간단한 화제로부터 먼저 고찰하자. 정보보안봉사를 물리적문서와 표준적으로 결합된 
기능형들을 재현하는것처럼 생각할수 있다. 상업，외교，군사작전，개인들의 호상련계 
등 각이한 령역에서 인간의 활동은 문서의 리용과 이 문서의 완정성에 대해 확신을 가지 
는 거래쌍방들에 의존된다. 문서들은 전형적으로 서명과 날자를 가진다. 그것들을 로출， 
엿보기，파괴로부터 보호해야 한다. 또 인증시키거나 증거로 될수 있으며 등록되거나 허 
락될수 있다. 

정보체계들이 더욱 더 우리 사업에 보급되고 기본으로 되면서 전통적으로 종이문서 
로 수행되던 사업들을 전자정보가 대신하게 되였다. 따라서 종이문서와 결합된 기능의 
형태들이 전자형태로 존재하는 문서우에서 수행될것이다. 전자문서들은 다음과 갈은 봉 
사나 기능을 갖추어 야 한다. 

1. 원래의 종이문서와 그 복사물사이의 차이가 있을수 있다. 그러나 전자문서는 다 
만 비트들의 렬이며 원본과 복사품사이에 아무런 차이도 없다. 

2. 종이문서의 변경은 그 변경의 물리적증거를 얼마간 남길수 있다. 실례로 지우게 
되면 연한 흔적이 남거나 종이에 보풀이 일게 된다. 콤퓨터에서 비트들의 변경 
은(혹은 신호에 서 변경 ) 아무런 물리 적흔적 도 남기 지 않는다. 

3. 물리적문서와 관련한 증명과정은 대체로 그 문서의 물리적특성 (례하면 손으로 
쓴 수표나 도장)에 의존한다. 전자문서인증의 그러한 증명 은 정 보 그자체 에 내 
재하는 내적증거에 기초하여 야 한다. 

표 1一1은 전통적 인 문서와 전자문서 및 통보문사이의 류사한 기능의 일부를 보여 
준다. 이 기능들을 보안대책이 만족해야 할 요구로 볼수 있다. 표 1_1의 목록은 길며 
그자체는 보안대책을 세우는데 지침으로 되지는 않는다. 콤퓨터나 망보안의 연구와 개발 
은 정 보보안편의 성 에 요구되 는 각이한 기 능을 포괄하는 3〜4개 의 보안봉사에 집 중된 다. 
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표 1-1. 


공통적 인 정 보완정 성 기 능의 부분적 목록 [SIMM92b] 


원문의 확인 및/혹은 령ᄂ 


식별 

인증 


허가 및/혹은 확인 
수표 

증거 (확증) 


일치 

책임 

령수 


• 보증 

• 접근(출입) 

• 정당성 검 중 

• 출현시간 

• 인증一프로그람 및/혹은 斗일 

• 투표 

• 소유권 

• 등록 

• 승인/거 부 

• 개 인성(비 밀성 ) 


보안봉사의 하나의 쓸모 있는 봉사는 다음과 같다. 

• 기밀성 : 콤퓨터체 계안의 정 보와 전송된 정 보는 인증된 대 방이 읽기 만을 위해서 
접근할수 있다는것을 보증한다. 이러한 형태의 접근에는 인쇄, 현시 그리고 어 
떤 객체의 존재를 단순히 나타내는것을 비롯한 기타 로출형태들이 들어 있다. 

• 인중성: 전자문서 혹은 통보문의 원본은 그 신원이 거짓이 아니라는 보증밑에 
정 확히 일치한다는것을 보증한다. 

• 완정성 : 인증된 대 방들만이 를퓨터체계의 자원과 전송된 정보를 변경할수 있다 
는것을 보증한다. 변경에는 전송된 통보문의 쓰기，변경, 상태변경，지연 및 
재연이 속한다. 

• 비거절성: 통보문의 송신자와 수신자는 누구나 전송을 거절할수 없다. 

• 접근조종: 정보자원에 대한 접근은 목적체계에 의하여 조절될수 있어야 한다. 

• 러용성 : 콤퓨터체계자원들은 필요할 때마다 인증된 대방들이 언제나 리용할수 
있어 야 한다. 


꾸밈새 


표 1_1에 제시된 모든 봉사를 제 공하거 나 모든 기 능을 수행하는 단순한 꾸밈새 
는 없다. 

이 책에서 취급한것과 같이 운영되는 많은 꾸밈새들의 변종을 볼수 있다. 현재 쓰이 
고 있는 보안꾸밈새의 기초에 놓여 있는 특정요소가 바로 암호기술이다. 암호화 즉 정보 
의 변환법과 같은 암호법은 보안을 제공하는 가장 공통적인 수단이다. 그러므로 이 책에 
서 는 그러한 기 술의 개 발, 리 용, 관리 에 초점 을 두었 다(보안과 관련한 문헌들에서 소개 
되고 있는 대부분의 용어들에 대해서는 완전한 합의가 이루어 지지 않고 있다. 실례로 
완정성은 때때로 정보보안의 모든 측면에 대해서 사용된다. 용어 인증은 때때로 완정성 
의 검증과 또는 다음에 제시되는 목록에서 완정성 으로 제시된 각이한 기능에 관계되 여 
쓰이고 있다). 
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표 1-2. 


속임의 형 래 ([ SIMM 92 b ] 참고) 


1. 승인되지 않은 정보에 대한 접근(즉 비밀 혹은 개인성의 침범) 

2. 책임을 회피하거나 다음의 목적을 위하여 다른 사람의 허가증을 리용하는 방법으 
로 다른 사용자로 위장 

1) 사기적인 정보의 조작 
T -) 합법적인 정보의 변경 
n ) 부정 접근을 위하여 위조신원의 리 용 
:트랜잭션에 대한 위조인증 혹은 위조보증 

3. 사기군이 자기 가 조작한 정 보에 대 한 의무와 책 임의 부인 

4. 사기군이 만들어 낸 정보를 다른 사용자로부터 받았다고 소송(즉 책 임 혹은 의무 
의 기만적부여) 

5. 보내지 않은 혹은 다른 시각에 보낸 정보를 수신자에게 보냈다고 소송 

6. 실제로 수신하였지만 수신된것을 부인하거나 수신시각을 위조 

7. 사기군의 합법 적 인 허 가범 위 (접 근, 창조, 배 송 등)의 확장 

8. 다른 사람의 허가(승인없이)를 변경한다(허위적인 다른 사람을 등록，허가설정기 
간의 확장，한정 등). 

9. 어 떤 정 보를(공개통신에서 ) 다른 정 보에(은밀한 통신) 숨기는것 

10. 능동(검출 안된)중계점으로서 다른 사용자들사이의 통신련결선들에 끼여 든다. 

11. 정 보자체 가 은페 되 였더 라도(통신통로로부터 자료기 지 까지 의 자료분석 의 일 반화， 
쏘프트웨어 등) 누가 어느 정보(원천，파일들 등)에 언제 접근하는가를 알려고 
한다. 

12. 사기군이 (규약의 내 용상으로) 비밀을 지 키 고 있는것 처 럼 가정 되 는 정 보로출에 의 
해 정보완정성규약이 파괴된다. 

13. 어떤 은밀한 기능을 첨 가하여 쏘프트웨어의 기능이 제대 로 발휘 못되게 한다. 

14. 어떤 규약에 부정확한 정보를 침투시키는 방법으로 다른 사용자들이 그것을 위반 
하게 한다. 

15. 체계에서 큰 실패가 일어 나게 함으로써 그 규약에 대한 신뢰성에 손상을 준다. 

16. 다른 사용자들사이의 통신을 막으며 특히 비밀리의 간섭으로 인증통신이 그렇지 
않은것으로서 거부하게 한다. 


공격 

지 . 제 이 . 시 몬 ( G . J . Simmons ) 이 지 적 한것 처 럼 정 보보안은 사기 행 위 를 어 떻 게 막는 
가 또는 그것 이 실 패 하면 정 보 그자체 가 의 미 있는 물리 적 실 체 를 가지 지 않는 정 보적 체 
계에서 사기를 검출하는 방법이다. 

우의 표 1 一 2는 더 명백 한 일부 사기들에 대 한 실례들을 보여 주는데 그러한것들은 
현실에서 많이 나타나고 있다. 여기에는 어떤 기관이나 개인(직원들을 대표하는 어떤 기 
관)들이 대처해야 할 여러가지 형태의 공격들이 있을수 있다. 기관이 관여할수 있는 공 
격들의 성격은 그때그때의 형편에 따라 많이 달라 진다. 

부닥칠수 있는 공격 의 일반적 인 형 태들을 고찰하면서 각이한 각도에서 문제 를 연구 
할수 있다. 이것이 다음 절의 주제이다. 
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1.2 보안공격 



럼 의 나머 지 부분들에 서 다음 4개 의 공격 의 일 반적범 주들을 보여 주고 있 

중단: 체계의 자원이 파괴되며 혹은 리용할수 없게 되거나 무효하게 된1 
것은 유용성에 대한 공격이다. 이러한 실례들에는 어떤 하드웨어부분의 
(하드디 스크와 갈은)，통신선의 절 단 또는 파일관리체계의 무력 화 등이 
린다. 

가로채기: 인증되지 않은 자들이 자원에 대한 접근을 엄는다. 이것은 : 
에 대한 공격 이다. 인증을 엄지 못한 대상들로는 사람，프로그람 혹은 - 
가 될수 있다. 실례 로 어떤 망에서 자료를 획득하기 위한 도청 혹은 프- 
이 나 파일 들의 부정 복사이다. 

련경 : 어떤 부정침 입 자(인증되지 않은자)들이 자원에 접근할뿐아니 라 그 






을 조절하는 공격이다. 이것은 완정성에 대한 공격이다. 실례로서 어떤 자료 
파일에서 값들을 변경하거나 어떤 프로그람이 잘못 실행되도록 변경 혹은 어 
떤 망에서 전송되는 통보문을 변경시키는것 등이다. 

• 위조: 어떤 부정침입자가 체계에 모조객체를 삽입하는 공격이다. 이것은 인중 
에 대한 공격이다. 실례로 파일에 레부호들을 첨가하거나 어떤 망에 위조정보 
들을 삽입하는것 등이 다. 

이 공격들을 일반적으로 소극적 (피동)공격과 적극적 (능동)공격 으로 분류할수 있다 
(그림 1-2). 

우와 같은 공격 에 대 한 분류는 스레 레 켄트 (Stere kent ) [ KENT 7 기 가 처 음으로 제 
기하였다. 이 분류는 지금도 가치가 있으며 대부분의 보안공격에 대한 서술에서 기 
초로 되고 있다. 

소극적인 위협 


가로채 기 (보안) 



통신문의 내용공개 거래내용해석 


적극적인 공격 



중단(리 용성) 변경(완정성 ) 위 조(인증) 

그림 1 一 2 . 소극적 및 적극적망보안위협 


소극적공격 

소극적공격은 본질상 전송정보를 감시하고 도청하는것 이 다. 적의 목적은 전송되는 
정보를 얻는것이다. 소극적공격의 두 형태는 통보문의 내용을 공개시키거나 거래되는 내 
용을 해석하는것 이 다. 

통보문의 내 용공개 는 쉽 게 리해할수 있 다. 전화대 화, 전자우편통보문，전송파일 에 
민감한 정보 혹은 비밀정보가 포함될수 있다. 적이 이 전송내용들을 알지 못하게 해야 
한다. 

두번째 소극적공격인 거래해석은 더 은밀하다. 통보문의 내용이나 기타 정보거래내 
용을 감추는 방법이 있다면 비록 적들이 통보문을 포착하였다 하더라도 그 통보문으로부 
터 정 보를 꺼 낼수 없을것 이 다. 정 보의 내용을 감추는(음페 하는) 공통적기술이 암호이다. 
암호보호를 적당히 한다면 적은 이 통보문의 패린을 주시하면서 통신하는 가입자들의 이 
틈과 위치를 알아 내고 교환되는 통보문의 길이와 주파수를 얻을수 있다. 이 정보는 진 
행되고 있는 통신의 성질을 추측하는데 쓸모가 있을수 있다. 
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소극적공격들은 그 자료에 대해 아무런 변경도 주지 않기때문에 검출하기가 매우 어 
렵 다. 그러나 이 공격들을 막을수 있다. 소극적공격을 다루는데서는 검출보다 오히 려 예 
방이 중요하다. 

적극적공격 

공격의 두번째 범주는 적극적인 공격이다. 이 공격들은 자료흐름의 일정한 변경 또 
는 허위흐름의 창조를 포함하는데 4개의 범주 즉 가장，재연，통신문의 변경，봉사의 제 
거 등으로 구분할수 있다. 

가장은 한 실체를 다른 실체 로 꾸밀 때 발생한다. 가장공격은 적 극적 인 공격의 다른 
하나의 형태를 포함한다. 실례로 인증렬은 어떤 유효인증렬이 일어 난후에 포착되고 재 
현될수 있으며 그래서 적은 특권을 가진 어떤 인증된 실체가 허위적으로 추가특권들을 
가지도록 할수 있다. 

재연은 어떤 자료단위의 소극적 인 포착과 그것을 재전송함으로써 인증되지 않은 효 
파를 초래하는것 이 다. 

통보문의 변경은 본래의 통보문의 어떤 부분이 변경되였거나 그 통보문이 지연 또 
는 재 지 령 되 여 비 인증효과를 나타내 는것 이 다. 실례 로 통보문〈〈존 스미스는 극비파일문 
서 를 읽 을것 을 허 락한다.》를《 프레 드 브라운은 극비 파일 문서 를 읽 는것 을 허 락한다.》 
로 수정 하는것 등이 다. 

봉사거 절은 통신시 설 의 일 반적리용 또는 관리 를 방해하거 나 금지 시 킨 다. 이 공격 은 
특수한 목적을 가질수 있다. 실례로 어떤 실체는 특정의 목적지에로 가는 모든 통보문들 
을 막아 버릴수 있다(즉 비밀검열봉사). 봉사거절의 다른 형태는 망의 성능을 떨구기 위 
하여 그것 을 무능력하게 하거 나 통보문과부하를 걸 어 망전체 의 혼란을 일 으키 는것 이 다. 

적극적공격은 소극적공격과 반대되는 특성을 가진다. 소극적공격은 그 검출이 어 려 
운 반면에 그것을 검출하면 대책을 취하여 막을수 있다. 한편 적극적공격은 절대적으로 
막는것이 어려운데 그것은 항상 통신시설과 경로들을 물리적으로 보호하여야 하기때문이 
다. 대신 그것을 검출하고 그것에 의해 생겨 난 와해와 지연으로부터 회복시키는것이 목 
적으로 된다. 


1 .3 보안봉사 

기밀성 

기밀성 ( confidentiality ) 은 소극적 공격 으로부터 전송되 는 자료의 보호이 다. 통보문 
내용의 공개에 대해서는 여러개의 보호수준들로 갈라 볼수 있다. 가장 폭 넓은 봉사는 
일정한 기간에 두 사용자사이에 전송되는 모든 자료를 보호하는것이다. 실례로 어떤 가 
상회선이 두 체계사이에 설치되면 이 넓은 보호는 가상회선상에서 전송되는 임의의 사용 
자자료의 공개를 방지한다. 이 봉사의 보다 좁은 형식들은 어떤 하나의 통보문 지어는 
어떤 통보문안에서 지적된 마당들의 보호 등으로 정의되고 이러한 형식은 넓은 보호보다 
쓸모가 적으며 또한 실현이 더 복잡하고 비용이 많이 들수 있다. 

기밀성의 다른 측면은 해석으로부터 자료흐름을 보호하는것이다. 이것은 통신설비에 
서 거래의 원천지，목적지，주파수, 길이 등의 특성들을 공격자가 관측할수 없게 할것을 
요구한다. 
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인증 

인증 ( auttientication ) 봉사는 통신이 인증된다는 보증과 관련된다. 단순한 통보문의 
경우(즉 경보나 경보신호와 같은)에 인증봉사의 기능은 그 통보문이 신용할만한 원천지 
로부터 왔다는 확인을 보증하는것 이 다. 어떤 말단으로부터 주콤퓨터에로의 접속과 갈은 
실행증의 대화인 경우에는 다음의 두 측면들이 포함된다. 첫째로，련결초기에 봉사는 두 
실체들이 인증되였다는것을 보증한다(즉 매 실체는 서로 보증한다). 둘째로，봉사는 련 
결이 3자가 비인증송신과 수신을 목적으로 두 합법적대방의 하나처럼 속이는 어떠한 방 
법 으로도 간섭할수 없다는것을 보증하여 야 한다. 

완정성 

기밀성과 마찬가지로 완정성 ( integrity ) 은 통보문들의 흐름，단일통보문 또는 어떤 
통보문의 선택된 마당들에 적용할수 있다. 가장 쓸모 있고 간단한 수법은 전체 통보문흐 
름의 보호이다. 

련결지향완정성봉사는 그 통보문의 취급이 재연，재배렬，변경，삽입，복제가 없이 
보낸 그대로 받는다는것을 보증한다. 자료의 파괴도 역시 이 봉사의 대상이다. 따라서 
련결지향완정성봉사는 봉사의 거절과 통보문흐름의 변경을 다 대상한다. 한편 내용의 크 
기에 관계없이 다만 개별적인 통보문만 취급하는 련결 없는 완정성봉사는 일반적으로 통 
보문의 변경만을 못하게 하는 보호를 제공한다. 켄트 ( Kent ) 는 재연, 재배렬을 일부 방 
지하면서도 엄격한 순차를 요구하지 않는 응용에 혼성봉사를 써먹을수 있다는것을 지적 
하였다 [ KENT 93 a ]. 

여기서 봉사를 회복할수 있는것과 없는것으로 구별할수 있다. 완정성봉사는 적극적 
공격에 관계되기때문에 예방보다 검출에 주의를 돌린다. 완정성에서 위반이 검출되면 봉 
사는 그 위반에 대 하여 통보만 하므로 쏘프트웨 어의 일부 다른 부분이 나 사람의 간섭에 
의 하여 그 위반을 회 복하여 야 한다. 자료의 완정성손실을 회복하는데 리용되는 꾸밈새 가 
있다. 자료회복꾸밈새들의 병합은 일반적으로 더 매혹적 인 대 안이다. 

비거절 

비거절은 송신자나 수신자가 전송된 통보문을 거절 (repudia 仕 on ) 하는것을 예방한다. 즉 
어떤 통보문을 보내면 수신자는 그 통보문이 자기의 대방이 보낸것 이라는것을 확신할수 있다. 

접근조종 

망보안과 관련하여 접근조종 (Access Control ) 은 통신련결을 거처 주를퓨터체계와 
응용프로그람들에 대 한 접 근을 조종，제 한하는 능력 이 다. 이 러 한 조종을 달성 하기 위 해 
접근을 얻으러는 매 실체는 우선 신원확인되거나 인증되여야 하며 따라서 접근권리는 개 
별적으로 부여된다. 

리용성 

일부 공격 들에 의 해 리 용성 ( availability ) 이 상실 혹은 적 어 질수 있다. 이 공격 들의 
일부는 인증보안이나 암호와 갈은 자동적인 대응수단에 의해 방지되지만 다른것들은 분 
산체 계 요소들의 리 용성 의 상실 로부터 회 복 혹은 보호하기 위하여 몇 가지 물리 적작용을 
요구하는 경우도 있다. 
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1.4 호상련결망보안모형 


여기서 대부분 론의하게 되는 모형이 그림 1-3 에 일반적형태로 주어 졌다. 통보문은 
호상련결망을 통하여 한 대방으로부터 다른 신용하는 대방에게 전송된다. 이 트란잭션에 
서 당사자들인 쌍방은 정 보교환을 위해 협 력하여 야 한다. 론리적 정보통로는 호상련결망 
에 서 원천지 로부터 목적 지 까지 의 경 로정 의 와 두 당사자들에 의한 통신규약(실례 로 
TCP / IP ) 의 공동리용에 의하여 설정된다. 

보안문제는 기밀성，인증 등에 위협을 줄수 있는 적으로부터의 정보전송보호를 필요 
로 할 때 제기되게 된다. 모든 보안기술에는 두개의 성분이 포함된다. 


신임된 저3자 


(족 공증인 P 비엄접보의 분배과 위 



• 보내려는 정보에 대한 보안련관변환. 실례로 적이 통보문을 읽을수 없도록 혼 
란시 키 기 위한 통보문의 암호화와 송신자의 신원을 확인하는데 리 용할수 있는 
통보문의 내용에 기초한 어떤 부호의 첨부를 들수 있다. 

• 당사자(송신자, 수신자)들이 공유하는 적에게 로출되지 말아야 할 어떤 비밀정 
보, 실례로 송신전에는 통보문을 쪼각화하고 수신하였을 때에는 다시 통합하는 
데 리용되는 암호화열쇠를 들수 있다. 

신용되는 제3자는 비밀전송을 요구한다. 실례로 그는 적으로부터 비밀정보를 지키면 
서 두 당사자에 게 비밀정 보를 배송하는 임 무를 수행할수 있다. 혹은 어떤 통보문전송의 
인증과 관련한 두 가입 자사이 에 론쟁 을 중재해 야 할수도 있 다. 

이 일반적 모형 은 특정한 보안봉사의 설 계 에서 다음의 4개 의 기 본과제 가 제 기된다는 
것을 보여 준다. 
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1. 보안에 관계되는 변환을 수행하는 알고리듬을 설계한다. 알고리듬은 적이 그 목 
적 을 방해 할수 없도록 되여야 한다. 

2. 알고리 듬과 함께 리 용되 는 비 밀정 보를 생 성한다. 

3. 비밀정보를 배송 및 공유할수 있는 방법을 개발한다. 

4. 특정의 보안봉사를 위해 보안알고리듬과 비밀정보를 리용하는 두 당사자(송신자， 
수신자)들이 리 용할 규약을 지 정한다. 

이 책의 많은 내용이 그림 1-3 에서 보여 준 방식에 알맞는 보안봉사와 보안꾸밈새들 
에 바쳐 지고 있다. 그러 나 곡 그런 방식은 아니지만 흥미 있는 다른 보안련관문제들도 
고찰하였 다. 그러한 보안모형 을 그림 1-4 에 보여 주었는데 그것 들要 바람직하지 못한 접 
근으로부터 어떤 정보체계를 보호하기 위한것이다. 대부분의 독자들은 해커와 관련한 문 
제들과 구면일수 있는데 해커는 어떤 망우에서 접근할수 있는 체계에 침투하려고 한다. 
해 커 들중에 는 나쁜 의 도가 없 이 그저 어 떤 콤퓨터 체 계 에 침 투하거 나 중단시키 는것 으로 
만족하는 자도 있고 또 파괴를 목적으로 하는 나쁜 침입자도 있을수 있으며 또한 돈을 
바라고 콤퓨터자원에 침투하는 범죄자(즉 신용카드번호를 얻거나 비법적인 현금전송을 
수행하는)도 있을수 있 다. 

다른 위험한 접근형 태는 체계의 부족점을 리용하고 응용프로그람이 나 편집기，콤파 
일러와 갈은 편의프로그람에 영향을 줄수 있는 론리가 콤퓨터체계에 들어 가는것이다. 

• 정보접근위협 그 자료에 대한 접근을 하지 말아야 할 사용자로서 자료를 변경 
혹은 가로채는것 

• 봉사위협 합법적인 사용자의 리용을 금지시키기 위해 콤퓨터에서 봉사결함들을 
리 용한다. 

비루스와 웜은 쏘프트웨어공격의 대표적인 두가지 실례이다. 이러한 공격들은 다른 
목적의 쏘프트웨어에 숨은 론리체계가 들어 있는 디스크를 통해 체계에 들어 가게 된다. 
그것들은 망을 통하여 어떤 체계에 들어 갈수 있다. 이 후자가 망보안에 더 관계된다. 

불리 한 접 근에 대 처 하는데 필요되 는 보안기 구는 크게 두 범 주로 갈라 진다(그림 1- 
4를 보시오). 첫 범주는 문지기기능이라고 부론다. 거기에는 인증된 모든 사용자들에 


정보체계 


적 


- 사람(즉 파괴자) 
-쏘프트웨어 
(즉 비루스，윙) 



접근통로 



방 


(처 리 기, 기 억 기, I / O ) 

자료 

처리 

프로그람 _ 

내장보안 조종기농 
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그림 1-4. 망접근보안모형 




대한 접근을 부정하도록 설계된 통과암호식가입수속과 월과 비루스 기타 류사한 공격들 
을 탐색하도록 설계된 보호론리체계가 들어 있다. 일단 원하지 않는 사용자나 원하지 
않는 쏘 프트웨 어의 접근이 성사되면 여 러 내부조종으로 이루어 진 두번째 방어선은 원 
하지 않는 침입자들의 존재를 검출하기 위해 기억된 정보를 해석하는 활동을 감시한다. 


1.5 이 책에 대한 개팔 

이 장에서는 책전반내용에 대한 소개를 주었다. 나머지 장들의 개요는 다음과 같다. 

전통암호화: 고전기술 

망과 통신보안에서 가장 중요한 자동화도구가 암호화이 다. 암호화에는 두가지 형 이 
있다. 즉 전통 혹은 대칭암호화와 공개열쇠 혹은 비대칭암호화인데 2장에서는 고전의 전 
통암호기술을 취급하였다. 이 장에서는 암호학과 암호분석학에 대한 친절하고 흥미 있는 
소개를 주면서도 중요한 개념들에 대해서는 특별히 강조하였다. 

전틍암호화: 현대기술과 알고리듬 

3장에서는 가장 널리 쓰이는 암호기술인 자료암호표준 ( DES ) 을 중심으로 하여 현대 
대 칭암호학의 원리를 소개하였다. 이 장에서 는 대부분의 현대 전통암호화방식의 기 본구조 
로 되 는 페 이 스털 ( Feistel ) 암호를 소개 하고 암호분석 과 설계 문제 에 대 하여 취 급하였 다. 

4장은 일부 중요한 현대블로크암호알고리듬들을 비롯하여 론의범위를 확장하였다. 

전틍암호화리용의 기밀성 

전통암호화알고리듬의 실제적구조를 취급 하는 문제외에 많은 설계문제들이 기밀성 
을 보장하기 위한 전통암호화의 리 용과 관련되 여 있 다. 5장에 서 는 그중에 서 중요한 내 용 
들에 대 하여 개 괄한다. 이 장에서 는 말단대말단련결 암호화의 론의 , 거 래 기밀성을 달성하 
기 위한 기 술，열쇠 배 포기 술을 취 급하였 다. 관계되 는 중요한 화제 로 란수발생 도 서 술되 
고 있다. 

공개열쇠암호화 

전통암호화와 다른 중요한 암호화가 공개열쇠암호화이다. 

그것 은 통신보안에 서 혁 신이 다. 6장에서 는 공개열쇠암호화에 대 하여 소개 하고 그 
리용에서 기밀성을 보장하는데 기본을 두었다. Rivest - Shamir - Adleman ( RSA ) 알고리듬 
이 구체적으로 심의되였으며 열쇠관리의 문제도 재고찰되였다. 이 장에서는 또한 널리 
쓰이고 있는 디피-헬만 ( Diffie - Hellmann ) 의 열쇠교환기술과 타원곡선에 기초한 최초의 
공개 열 쇠방법 도 고찰하였 다. 

수론에 대한 입문 

대부분의 공개열쇠방식은 수론에 기초하고 있다. 독자들이 수론의 결과들을 확신하 
게 되면 그 개념들을 기본적으로 파악할수 있다. 7장에서는 그 개념들을 명백히 하기 위 
한 많은 실례들과 개괄을 주었다. 
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인증과 하쉬함수 

보안대책으로서 기밀성과 마찬가지로 중요한것이 인증이다. 최소한 통보문의 인증 
은 어떤 통보문이 지정된 송신자로부터 왔다는것을 보증한다. 게다가 인증은 변경，지연， 
재 연，재배렬에 대 한 보호를 포함한다. 3 장에서는 인증의 필요성 에 대 한 해 석 으로부터 
시작하여 인증방법에 대한 구체적 인 서술을 주고 있다. 인증방식의 관건적요소는 인증자 
의 리용인데 흔히 통보문인증부호 (MAC) 혹은 하쉬함수를 인증자로 쓴다. 이 런 형 들의 
알고리 듬들에 대 한 설계를 고려하면 몇개의 특수한 실례 들이 해 석된다. 9 장에서는 현재 
가장 중요하게 쓰이 는 하쉬함수들과 HMAL 로 알려 진 인터네 트표준 MAC 등에 로 론의 
범위를 확장하였다. 

수자서명과 인증규약 

인증의 중요한 형 태는 수자서명 이다. 10장에서는 수자서 명 을 생 성하는데 쓰이는 기 
술을 고찰하고 중요한 표준 즉 수자서명표준 (DSS) 에 대하여 서술하였다. 

수자서 명 에 기 초한 각이한 인증기 술들은 인증알고리 듬과 함께 블로크로 작성 되 고 
있다. 그러한 알고리 듬의 설계 에는 많은 명백한 안전규약들을 파괴할수 있는 교묘한 공 
격들에 대한 해석을 포함한다. 

11장에서는 현재 리용되고 있는 가장 중요한 인증명세서중에서 2개를 개괄하였다. 
Kerberos 는 광범히 응용되는 전통암호화에 기초한 인증규약의 하나이다. 

X.509 는 어 떤 인증알고리 듬을 지 정하며 어 떤 확인편의 도구들을 정 의 한다. 확인편 
의도구는 사용자공동체가 그 공개열쇠의 타당성에 확신을 가지게끔 공개열쇠에 대한 확 
인을 엄을수 있게 한다. 이 편의도구들은 많은 응용들에서 블로크를 조정하는것으로서 
리용된 다. 

전자우편보안 

가장 많이 리용되는 응용이 전자우편이다. 전자우편편의도구부분으로 인증 및 비밀 
봉사를 보장하려는 요구가 높아 지고 있다. 12장에서는 가까운 장래에 전자우편보안을 
지배하리 라고 보아지는 두가지 방법을 고찰하였다. PGP 는 기관이나 정보에 관계없이 
광범히 리 용되 는 방식 이 다. 따라서 기 관들이 운영하는 망구조에 병 합되 려 는 개 별적 사람 
들에게도 적합하다. S/MIME (Secure/Multipurpose/Internet Mail Extension) 는 전형 
적 인 인터네트표준으로 개발되였다. 

IP 보안 

인터 네트규약 (IP) 은 인터네트와 전용인트라네트에서 중심적요소이다. 따라서 IP 준 
위 에서 보안은 임의 의 인터네 트기 반의 보안방식의 설계 에서 중요하다. 13 장에서는 다음 
세 대 IP 와 현재 의 IP 를 다 운영하게 끔 개 발된 IPv6 이 라고 하는 IP 보안방식 을 고찰한다. 

Web 보안 

전자상거 래 용으로 WWW 리 용의 급격한 장성 과 정 보의 보급은 Web 에 기 초한 강한 
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보안의 필요성 을 제 기 하였 다. 14장에 서 는 이 중요하고도 새 로운 보안령역 에 대 한 개 괄을 
주었 다. 그리 고 2개 의 열 쇠표준들 즉 안전스케 트층 ( SSL ) 과 보안전 자트랜 잭 션 ( SET ) 을 
고찰한다. 

침입자，비루스，웜 

15장에서는 망에 기초한 처리체계에서 약점을 리용하는 프로그람과 해커에 의해 존 
재하는 봉사위협들과 정보접근의 각이한 형태들을 서술하였다. 이 장에서는 인증되지 않 
은 사용자 혹은 침 입 자에 의 한 공격 의 형 태 에 대 한 론의 로부터 시 작하여 예 방과 검 출의 
각이한 수법 들을 분석하였 다. 그리 고 비 루스를 비 롯하여 프로그람적 인 위 협들에 대 해서 
도 론의하였 다. 

방화벽 

외부의 위협으로부터 국부적인 콤퓨터자원을 보호하기 위한 표준적인 수법은 방화벽 
의 리용이다. 16장에서는 방화벽설계의 원리에 대하여 론의하고 전용기술을 고찰하였다. 


참고문헌 

[ PFLE 9 기에 를퓨터와 망보안에 대하여 구체적으로 소개되여 있다. 또 다른 중요한 
문제는 [ ARA 95] 에서 취급되였다. 

ABR 95. Abrams , M : Jajodia , S ； and Podell , H .， eds . Information Security：An 
Integrated Collection of Essays. Los Alamitos , CA : IEEE Computer Society Press , 
1955. 

PFLE 97 Pfleegr , C Security in Computing . Upper Saddle River , NJ ： 
Prentice Hall . 1997 


부록 1: 인테^트와 Web 자원 

인 터네 트와 Web 에 는 이 책 의 내 용을 리해 하고 해 당 분야에 서 의 새 로운 개 발들을 
계속 받아 들이는데서 도움이 될수 있는 자원들이 많다. 

이 책의 Web 싸이트 

이 책의 전용 Web 페지는 http // www . shore . net /~ ws / Security 2 e . html 에 설치되 
였다. 이 싸이트에는 다음과 같은것들이 포함된다. 

• 부록에 주어 진 목록을 비롯한 다른 Web 싸이트에 대한 련결들은 Web 상의 관 
계되는 자원들에 대한 관문을 제공한다. 

• 직결식투명한 이 책의 주인은 PDF(adobe Acrobat ) 형식으로 이 책의 대부분 
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의 도형들에 대해서 직접 명확히 리해할수 있다. 

• 게재된 정보는 책의 인터네트우편목록용으로 제공된다. 

• 책에 기초한 과정안을 위한 홈페지에로의 련결도 포함시켰다. 이 페지들은 다 
른 교원들이 자기 과정 안을 구성하기 위한 안을 세우는데서 도움이 될수 있다. 

이 책에서 인쇄나 기타 오유를 발견 하면 곧 이 책에 대한 고침 표를 
http :// ww . shore . net/~ws 에서 리용할수 있다. 파일은 필요하면 갱신할수 있다. 

오유를 발견하면 ws @ shore , net 로 전자우편을 보내시오. 저자의 다른 책들에서의 
고침표들도 같은 Web 싸이트에 있으므로 그 책들에 대 한 주문정보의 량을 줄인다. 

다른 Web 싸이트 

이 책의 주제와 관련되는 몇가지 정보를 제공하는 많은 싸이트들이 있다. 몇가지 
실례를 보면 다음과 같다. 

• COAST： 암호학과 망보안에 관계되는 련결들의 종합적 인 모임 

• IETF Security Area : 인 터 네트보안규격화에서 이룩된 최신 성 과들 

• Computer and Network Security Reference Index： (를퓨터 와 망보안참조 
색 인)상품들과 판매자, FAQ 들, 새소식그룹기록, 론문들, 기타 다른 Web 싸이 
트에 대 한 풍부한 색 인 

• The cryptography FAQ： 암호학의 모든 측면을 포괄하는 풍부하고도 쓸모 
있는 FAQ 

• Tom Dunigan’s Security page： 암호학과 망보안' Web 싸이트에 대한 지적자 
들의 목록 

• IEEE Technical Committee on Security and privacy： IEEE 의 활동과 관 
련한 정보，편지들을 복사한다. 

다음 장들에서는 보다 전용적 인 Web 싸이트들을 참고문헌에 대한 절들에서 소개 한다. 

USENET Newsgroups 

많은 전자신문 (USENET news ) 그룹들은 망보안과 암호학의 일부 측면들에 대하 
여 밝히고 있다.거의 모든 전자신문그룹들과 마찬가지로 여기에도 높은 잡음대 신호 
비 ( N / S ) 가 있다. 그러 나 요구에 부합되 면 시험해 볼 필요가 있다. 그중 관계되는것 
들은 다음과 같다. 

• Sci.crypt： 암호학과 관계되는 화제들에 대한 일반적론의 

• Sci.crypt.research： 이것은 연구화제들을 취급하는 적절한 신문그룹이다. 계 
시된 내용들은 암호학의 기술적측면과 일정한 관계가 있다. 

• Alt.security： 보안화제에 대한 일반적론의 

• Comp. Security, firewalls : 방화벽들과 그 기술에 대한 일반적 론의 
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제 1 편. 전통암호 


제2장. 전틍암호: 고전기술 


대 칭 암호 또는 단일열쇠 암호라고도 불리 우는 전통암호는 공개 열쇠 암호가 나오기 전의 
유일한 암호였다. 이것은 가장 널리 쓰이고 있는 암호의 두 형태들중의 하나로 되고 있 
다. 이 장과 다음 두 장에서는 각이한 전통암호알고리듬들에 대하여 고찰한다. 그리고 5 
장에서는 전통암호에서 열쇠의 리용과 관련한 몇가지 문제들을 고찰한다. 

먼저 전통암호에 대한 일반모형을 고찰하고 그다음 를퓨터시대 이전에 리용하였던 
각이한 알고리 듬들을 고찰한다. 3장에 서 는 현재 광범히 리용되 고 있는 암호알고리 듬인 
DES 에 대하여 취급한다. 


2.1 전통암호모형 

그림 2-1 에서 전통암호의 처 리 과정 을 보여 주었 다. 평 문이라고 부르는 의 미 있는 본 
래 의 통보문은 암호문이라는 겉보기 에 무질서 하고 무의 미한것 으로 변환된 다. 암호화처 리 
는 알고리 듬과 열쇠 로 이루어 진다. 열쇠는 평 문과 독립인 값이 다. 알고리 듬은 리 용되는 
특정의 열쇠 에 따라서 각이한 출력 을 낸다. 열쇠를 변화시 키면 그 알고리 듬의 출력 이 달 
라 진다. 

일단 암호문이 생성되면 그것을 전송할수 있다. 수신되면 그 암호문은 암호화에 쓰 
였던것 과 같은 열쇠 와 복호알고리 듬을 리 용하여 원래 의 평문으로 다시 변환된다. 

전통암호에 의한 보안은 여러개의 인자(요인)들에 의존된다. 첫째로, 암호알고리듬 
은 그 암호문에 만 기 초하여 통보문을 분석할수 없을만큼 충분히 강하여 야 한다. 또한 전 
통암호에 의한 보안은 알고리 듬의 비밀 이 아니 라 열쇠의 비밀에만 의 존한다. 즉 암호문 
과 암호알고리듬/복호알고리듬에 대한 지식에 기초하여 통보문을 분석하는것은 비현실적 
이라고 본다. 다시말하여 알고리듬에 대한 비밀은 필요 없고 열쇠의 비밀만 필요하다. 

전통암호의 이러한 특성은 그것을 광범히 쓸수 있게 하였다. 알고리듬을 비밀보관할 
필요가 없다는 사실은 설계자들이 자료암호알고리듬의 저가격의 소편실장을 개발할수 있 
다는것 을 의 미한다. 이 소편들은 많은 제 품들에 결 합되 여 광범히 리 용되 고 있 다. 전통암 
호의 리용에서 기본은 열쇠의 비밀을 지키는것이다. 

그림 2-2 를 통하여 전통암호방식의 기본요소들을 좀 더 구체적으로 보자. 원천지는 
평문 X =[ xi , x 2 , …， x M ] 으로 어떤 통보문을 만든다. 표는 어떤 유한자모모임의 문자들의 
렬이 다. 전통적 으로 문자는 흔히 26개 의 대 문자로 이 루어 져 있 다. 오늘날에 는 2진자모 
{0， 1} 이 일반적으로 쓰이고 있다. 

암호화를 위해 K =[ K !， K 2 , …， Kj ] 형식의 어떤 열쇠를 생성한다. 만일 열쇠가 통보문 
원천지에서 생성되면 그것은 어떤 안전한 통로를 통하여 목적지에 제공되여야 한다. 다른 
방법으로는 계3자가 열쇠를 생성하고 그것을 원천지와 목적지에 안전하게 배달할수 있다. 
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송신자와 수신자가 
공유하는 비밀열쇠 



송신자와 4신자가 
공유하는 비밀열쇠 




암호화알고 리 듬 (암호화알고 리 들의 거 끌) 


(즉 DES) 


그림 2-1. 전통암호의 간단한 모형 





그림 2-2. 전통암호의 모형 


암호화알고리 듬은 입 력으로서 통보문 표와 암호열쇠 K 를 가지 고 암호문 Y =[ Y 1； Y 2 , 
…, Y N ] 을 만들어 내는데 이것은 다음과 같다. 
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Y = E k ( x ) 










































이 표기 는 열쇠 K 에 의하여 결정 되 는 지정된 함수와 평문 표의 함수로서 암호화알 
고리 듬 묘를 리 용하여 Y 가 생성된다는것을 반영한다. 

갈은 열쇠를 가지고 있는 약속된 수신자는 전송자료에 대하여 거물변환을 할수 있다. 


X = D k ( Y ) 


K 나 표에 대 한 접근을 얻지 못한 적은 구를 관측하여 K 나 X 또는 표와 K 를 다 회 
복하려고 시도한다. 적 이 암호화알고리듬과 복호알고리듬을 알고 있다고 가정 하자. 만일 

적이 이 특정의 통보문에만 관심이 있으면 얻어 진 평문 &를 평가하여 표를 회복하려고 

할것 이 다. 물론 적은 앞으로의 통보문도 알려고 할수 있다. 이 런 경우에 얻 어 진 士 로 
부터 K 를 회복하려 고 한다. 

암호학 

암호체계를 일반적으로 세개의 독립적인 요소들로 분류한다. 

1. 평문을 암호문으로 변환하는데 쓰이는 연산들의 형태. 모든 암호알고리듬들은 다 
음과 같은 2개의 일반적원리에 기초하고 있다. 대입-이것은 평문에 있는 매 요소 
(비트，비트렬，문자)에 다른 원소를 대응시킨다. 치환-평문에 있는 원소들을 재 
배 렬한다. 기본요구는 정보가 잃어 지지 않게 하는것 이 다(즉 모든 연산은 가역적 
이여야 한다). 합성체계라고 부르는 체계들은 대입과 치환의 여러 단계를 포함한다. 

2. 리용되는 열쇠들의 수. 송신자와 수신자가 갈은 열쇠를 리용한다면 그 체계는 대 
칭 혹은 단일 열쇠암호 또는 비밀 열쇠암호나 전통암호라고 부론다. 만일 송신자와 
수신자가 각각 서로 다른 열쇠를 리용한다면 그 체계는 비대칭 또는 두열쇠 또는 
공개열쇠암호라고 부론다. 

3. 평 문을 처 리 하는 방식 . 블로크암호는 한번 에 한개 입 력블로크를 처 리하여 매 입 
력블로크에 대하여 하나의 출력블로크를 생성한다. 흐름암호는 입력을 련속적으 
로 처 리 하여 한번 에 하나의 원소씩 생 성하여 간다. 

암호 분석 

X 혹은 K 또는 둘 다 발견해 내려는 처리를 암호분석이라고 부론다. 

암호분석에 쓰이는 전략은 암호방식의 성질과 암호분석자가 리용할수 있는 정보의 
성질에 관계된다. 

표 2-1 에 암호분석자들에게 알려 진 정보량에 기초한 암호분석공격의 여러가지 형태 
를 종합하여 주었다. 가장 어려운 경우는 암호문만 주어 지는 경우이다. 일부 경우에는 
암호알고리듬조차 알려 지지 않지만 일반적으로는 적 이 암호알고리듬을 알수 있다고 가 
정한 환경 에서 가능한 한가지 공격은 모든 열쇠를 다 시험해 보는 맹목적 인 공격수법 이 
다. 만일 열쇠공간이 대 단히 크다면 이 방법은 비현실적 인것으로 된다. 즉 적은 암호문 
자체의 분석에만 의존해야 하며 일반적으로 각이한 통계적검사를 적용한다. 이러한 수법 
에 리용하기 위하여 적은 영어 혹은 프랑스어본문， MS-DOS EXE 파일 ， Java 원천목록， 
음성파일 등과 같은 주어 진 평문의 형태에 대한 어떤 일반적지식을 가져야 한다. 
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암호문 

• 암호알고리듬 

• 분석해야 할 암호문 

기지평문 

• 암호알고리듬 

• 분석해야 할 암호문 

• 비밀열쇠를 리 용하여 만든 하나 혹은 몇 개의 평 문，암호문쌍 

선택 평 문 

• 암호알고리듬 

• 분석해야 할 암호문 

• 분석자가 선택한 평문과 그에 대응하는 암호문 

선택 암호문 

• 암호알고리듬 

• 분석해야 할 암호문 

• 분석자에 의해 선택된 암호문과 그에 대응하는 평문 

선택 문 

• 암호알고리듬 

• 분석해야 할 암호문 

• 분석자에 의해 선택된 평문과 대응하는 암호문 

• 분석자에 의해 선택된 암호문과 비밀건에 의해 생성된 대응 히 
석된 평문 




암호문공격은 적이 정보해석에 필요한 최소의 정보만 가지므로 해석을 방지 
쉽다. 많은 경우에 해석자들은 더 많은 정보를 가진다. 해석자들은 어떤 암 
1•은 평문통보문을 몇개 포착할수 있다. 또 어떤 해석자는 어떤 평문의 패런 e 
문에 나타날수 있는가를 알수 있다. 실례로 Postscript 형식에서 부호화된 어 0 
r 갈은 패턴으로 시작된다. 즉 거기에는 표준화된 머리부나 전자자금전송통 
등이 포함되군 한다. 이러한것들은 기지평문의 실례이다. 그에 대한 지식을 
자들은 알려 진 평문이 전송되는 방법에 기초하여 그 열쇠를 추론해 낼수 있: 
기지평문공격 에 밀접 히 관계되 는것은 확률단어공격 과 같은것 이 라고 볼수 있다 
일반문제의 통보문에 대한 암호에 대하여 분석 하고 있으면 그는 무엇 이 그 
!는가를 다소 알수 있다. 더우기 적이 특별히 지정된 정보를 가지게 되면 통 
L 분은 알수 있을것 이 다. 실례 로 어떤 전체 회 계표들이 전송된다면 적은 그 
부에서 어떤 열쇠단어의 배 치를 알수 있을것 이 다. 다른 실례로 프로그람개 발. 
1하여 개발된 어떤 프로그람에 대하여 원천부호는 어떤 표준위치에 승인문여 
할것 이 다. 

만일 해석자가 어떤 방법으로 선택한 통보문을 그 체계 에 삽입하는 원천지체그 
있다면 선택평문공격이 가능하다. 이러한 전략의 한 실례는 3장에서 취급한 





기지평문공격에 견디게끔 설계된다. 

두가지 정의를 더 지적할수 있다. 암호방식은 그 방식에 의하여 생성된 아무리 많은 
암호문을 리용하여도 특정한 암호문에 대응하는 평문을 유일하게 결정 할수 있는 충분한 
정보를 포함하지 않으면 무조건안전이라고 한다. 즉 적이 아무리 많은 시간을 들여도 그 
암호문을 분석 하는것은 불가능하다. 1회매몰과 갈은 방식을 제외 하면 무조건 안전인 알 
고리듬은 없다. 암호알고리듬의 사용자들은 보통 다음의 두 기준 혹은 그중 하나를 만족 
하는 알고리듬을 추구하고 있다. 

• 암호를 파괴하는 비용이 그 정보의 비용을 넘는다. 

• 암호를 파피하는데 드는 시간이 그 정보의 실제적수명보다 더 길다. 

암호방식이 우의 두 기준에 부합되면 계산량적으로 안전이라고 말한다. 난점은 암 
호문을 성공적으로 분석하는데 드는 품을 평가하기 어렵 다는것 이 다. 


표 2-2. _완전열쇠탐색 에 필요한 시 간 


열쇠의 크기 

가능 한 

열쇠들의 개수 

1 번의 암호화에 
요구되 는 시 간, . 

10 6 번의 암호에 
요구되 는 시간,， 

32 

2 32 =4.3 X 10 9 

2 31 i ， s =35.8 min 

2.15 ms 

56 

2 56 =7.2 X 10 16 

2 55 ，1142 년 

10 .OXh 

128 

2 128 =3.4 X 0 38 

2 12 V =5.4 X 10 24 년 

5..德<10 18 년 

26자모 치환 

26!=4 X 10 26 

玄 Xl 0 26 i / s =6.4 Xl 0 1: M 

6.4 X 10 6 년 


암호문으로부터 평문에 로의 의 미 있는 변환이 얻 어 질 때 까지 모든 가능한 열쇠 를 
가지 고 시 험하는 힘 내기공격 에서 요구되는 시 간을 고찰할수 있다. 평균적 으로 모든 가능 
한 열쇠의 절반만 시험해 보면 성공할수 있다. 표 2-2 에 각이한 열쇠공간에 대하여 얼마 
만한 시간이 걸리는가를 보여 주었다. 3개의 2진열쇠들에 대해 고찰하였다. 56 bit 크기의 
열쇠가 DES 알고리듬에서 쓰인다. 결과는 또한 26개 문자열쇠를 리용하는 모든 가능한 
치환(후에 론의함)의 경우로 보여 주었다. 

매 개 열쇠 의 크기 에 대 하여 한번의 분석 을 진행하는데 1^가 걸 린 다고 가정 하였다 
(이 가정은 현대 콤퓨터 에서는 타당하다). 극소형처 리기의 병 렬조작에 의하여 계산속도 
를 훨씬 개선할수 있다. 표 2 — 2의 마지 막렬에서 매 패당 10 6 번의 시 험을 할수 있다는 
가정 에서 결과를 주었다. 표를 통하여 알수 있는것 처 럼 이 려 한 성능수준에서 DES 는 더 
는 계산량적으로 안전하다고 말할수 없다. 

전통암호방식에 대한 모든 형태의 암호분석은 평문의 구조 또는 패턴의 흔적이 암호 
화에 서 남아 있고 암호문에 서 간파할수 있다는 사실을 리용하도록 설계되 였 다. 이 것은 
이 장에서 여 러 가지 전통암호방식들을 고찰하면 더 명백해 질것 이다. 6장에서 공개열쇠 
암호방식에 대한 해석은 근본적으로 서로 다른 전제밑에서 전형화된다는것을 보게 될것 
이다. 즉 열쇠쌍의 수학적특성들이 두개 열쇠중 하나가 다른것으로부터 추출되게 할수 
있 다는것 이 다. 
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2.2 전자투과 

엄밀히 말하여 암호가 아닌 전자투과 ( Steganography ) 에 대한 론의로부터 시작 
한다. 

평문통보문은 두가지 방법중의 어느 하나로 은폐할수 있다. 전자투과방법은 그 통보 
문의 존재 를 감춘다. 반면에 암호는 그 본문에 각이 한 변환을 주어 3자에 게 리 해할수 없 
는 통보문을 준다. 표 2_3은 문헌 [ KAHN 96] 에 서 취 하였 는데 여 러 가지 보안방법 에 서 
전자투과의 위 치를 가리 킨다. 칸 ( Kahn ) 에 의 하면 보안 ( Security ) 은 정 보를 보호하는 
방법 이 고 첩 보활동 ( Intelligence ) 은 정 보를 검 색 하는 방법 이 다. 


표 2-3. 암호보안과 첩보활동기술 


암호보안 

첩보활동 

통신보안 

통신첩보활동 

전자투과(은현잉크，공개부호들，공개문속 
에 숨긴 통보문 등) 

암호 (부호들과 암호) 

거 래 보안 (호출수표변경，허 위 통보문송신) 

가로채 기 

암호분석 

거래해석 (통보문흐름분석 , 무선지 문뜨기) 

전자적 보안 

전자적인 첩보활동 

봉사보안(주파수변위，스펙트르확산) 

역방지대책 (교란된 전파람지를 통하여 보 
기) 

전자정찰 (도청) 

방지 대 책 (전파람지 기 통신방해，거 짓 라지 오 
신호의 발신) 


전자투과의 단순한 형 (그러 나 구성에 시 간이 소모된다.)은 명백한 의미 가 없는 문자 
렬 안의 문자나 단어 렬 에 서 실제 적 인 통보문을 꺼 내 는것 이 다. 

실례 로 전체 통보문의 매 개 단어 의 첫 문자들의 렬로 감추어 진 통보문을 구성할수 
있다. 그림 2—3에 전체 통보문의 단어들의 부분모임으로 숨겨 진 통보문을 나르는데 리 
용되는 례를 보여 주었다. 

그 외 에 도 지 난 시 기 에 리 용되 여 온 기 술들의 실 례 들은 다음과 갈다. 

• 기호표식 : 인쇄 혹은 타자된 본문의 선택된 문자들이 연필로 겹쓰이였다. 표식 
들은 그 종이가 밝은 빛과 어떤 각도를 유지하지 않으면 보통 볼수 없다. 

• 은현잉 크: 많은 물질들이 그 종이 에 화학적작용 혹은 열 이 가해 지 기 전에 는 
그 어떤 가시적흔적도 남기지 않는다. 

• 핀구멍뚫기: 선택된 문자우의 작은 핀 구멍들은 그 종이가 빛면에 마주 서지 
않으면 보통 보이지 않는다. 

• 타자기 교정리봉: 검 은 리봉으로 타자한 행 들사이 에 리 용되 면 교정레 프를 가지 
고 타자한 결과들은 다만 강한 빛아래 에서만 볼수 있다. 

비 록 이 기 술들이 낡은것 처 럼 보이 지 만 현재 도 의 의 를 가진다. 문헌 [ WAYN 93] 에 는 
CD 우의 프레 임 의 제 일 아래 자리비 트들을 리 용하여 통보문을 은폐 하는 방법 이 소개 되 였 다. 
실례 로 Kodak photo CD 의 최 대 분해 능은 3072 X 2048 화소이 다. 그 매 화소는 24 bit 의 
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RGB 색정보를 포함한다. 매 24 Wt 화소의 제일 아래자리비트 ( LSB ) 는 그 화상의 질에 큰 영 
향을 줌이 없이 변화시킬수 있다. 결과 한개의 수자속성사진에 2-3 MB 의 통보문을 은페할 
수 있다. 이 러한 전자투과수법을 사용한 쏘프트웨어제품들이 많이 개발되였다 [ JOHN 97]. 

전자투과는 암호화에 비 하면 많은 결함을 가지 고 있다. 그것은 정보의 상대적 인 작 
은 렬비트들을 감추기 위해 많은 간접비용을 요구한다. 오히려 앞 절에서 제안한 방식들 
을 리용하는것이 더 효과적일수 있다. 


Dear george, 


Greetings to all Oxford.Many thanks for your 
letter and for the summer examination package. 
All Entry Forms and FeesForms should by Friday 
for final despatch to the syndicate by Friday 
20th or at the very latest, I'm told by the 21st. 
Admin has improved here, though there's room 
for improvement still; just give us all two or three 
more ye 次 r5, and we 'll really show you! Please 
don't let these wretched 16+proposals destroy 
your basic 0 and A pattern. Certainly this 
sort of change, if implemented immediately, 
would bring chaos 


Sincerely yours, 

그림 2-3. 모르스경부가 손에 쥔 수수께끼 


왜냐하면 체계가 일단 발견되면 그것은 실제로 쓸모 없게 되기때문이다. 이 문제도 
역 시 삽입법 이 어떤 종류의 열쇠 에 의존한다면 극복할수 있다 ( 실례 로 문제 2. 3을 보라) . 
또한 어떤 통보문은 처음에 암호화되고 다음에 전자투과법을 리용하여 은페할수 있다. 

전자투과의 우점은 비밀통신자체가 있다는것이 발견되지 말아야 할 대방들사이에 사 
용할수 있다는것 이 다. 암호화는 이 통신내용이 중요하다든가 비밀이라든가를 표시 하든가 
또는 송신자나 수신자가 은폐해 야 할 정 보를 가진 사람이 라는것 을 확인한다. 


2.3 전통암호기술 

이 절에서는 전통암호기술이라고 부르는 방법들에 대한 실례를 고찰한다. 이 기술에 
대 한 학습에서는 오늘날의 전통암호에 대한 기본수법들과 또 예견하여 야 할 암호공격의 
형태를 실례로 보여 준다. 
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첫째로 모든 암호기술들중에서 2개의 기본기초블로크들인 대입과 치환을 연구한다. 
끝으로 대 입과 치환을 결합한 체계를 론의한다. 

대입기술 

대 입기술은 평문의 문자들을 다른 문자나 수자，기 호로 교체하는것 이 다. 만일 평문 
을 비트렬로 본다면 대 입은 평문비트패 런을 암호문비트패 턴으로 교체하는것을 의미한다. 


씨 저 암호 

최초의 가장 단순한 대입암호는 씨저가 만든 암호였다. 씨저암호에서는 매 문자를 
그 자모순에서 3자리뒤의 문자를 대입한다. 실례로 

평문: meet me after the toga party 

암호문: PHHW PH DIWHU WKH WRJD SDUWB 

자모의 순서는 원순환으로 정해 진다. 따라서 Z 의 다음에는 A 가 놓이게 된다.문자 
들의 가능한 대입은 다음과 갈다. 

평문: abcdefghljklmnopqrstuvwxyz 

암호문: DEFGHIJKLMNOPQRSTUVWXYZABC 

만일 매 문자에 자모에서의 순서번호를 부과하면 (a=l, b=2 등) 알고리듬을 다음과 
같이 표현 할수 있 다. 매 평문문자 P 에 대 하여 암호문문자 C 를 대 입한다. 


C=E(p) = (p+3)mod(26) 


밀기값은 임의의 크기로 정할수 있으며 따라서 일반적 으로 씨 저의 알고리듬은 다음 
과 갈다. 


C=E (p) = (p+k) mod (26) 


여기서 K 는 1〜25사이의 값을 취한다. 복호알고리듬은 단순하다. 


p=D(C) = (C-k)mod(26) 


만일 주어 진 암호문이 시저의 암호문이라는것을 알면 힘 내기공격은 쉽게 수행된다. 
가능한 모든 25개의 열쇠를 시험해 보는것은 쉽다. 그림 2-4 에서 실례암호문에 이 전략 
을 적용한 결과를 보여 주었다. 이 경우에 평문은 3번째 행이다(이 책에서 평문은 소문 
자로，암호문은 대문자로, 열쇠값은 사체소문자로 약속한다). 

이 문제 의 중요한 특징 들은 힘 내 기 공격 분석 법 을 리 용할수 있는것 이 다. 

1. 암호화알고리듬과 복호화알고리듬이 알려 져 있다. 

2. 다만 25개의 열쇠만 시도한다. 

3. 평문의 언어는 알려 져 있으며 쉽게 인식할수 있다. 
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그림 2-4 . 씨저암호에 대 한 힘 내 기 공격 분석 


대 부분의 망상황에 서 알고리 듬은 알려 져 있 다고 가정할수 있 다. 힘 내 기 공격 분석 을 
불가능하게 하는 일 반적방법 은 많은 열쇠 를 가지 는 알고리 듬을 리용하는것 이 다. 실례 로 
DES 알고리듬 (3 장에서 취급)은 56 bit 의 열쇠를 리용하는데 열쇠공간의 크기는 2 56 ,즉 7 
X 10 16 이상의 가능한 열쇠를 가진다. 

세번째 특징 역시 중요하다. 만일 평문의 언어가 알려 지지 않았다면 평문의 출력은 
명확히 알수 없을것이다. 더우기 입력이 어떤 방식으로 생략되거나 압축되면 식별을 더 
어렵게 한다. 
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그림 2-5. 압축문의 실례 


그림 2-5 에 ZIP 알고리듬으로 압축된 어떤 본문파일의 일부를 실례로 주었다. 만일 
이 파일 이 단일대 입암호 (바로 26개 이 상의 자모기 호들을 포함하도록 확장된) 로 암호화되 
면 그 평문은 힘내기공격으로 분석되여도 그 식별이 불가능하다. 

단일자모암호 

씨저의 암호는 25개의 가능한 열쇠만을 가지고서는 안전하지 못하다. 임의의 방법으 
로의 대입을 허용하여 열쇠공간의 크기를 확장할수 있다. 

씨저의 암호를 다시 보자. 

평문: abcdefghij k 1 mnopqr stuvwxy z 

암호문: DEFGHIJKLMNOPQRSTUVWXYZABC 

가령 암호문행이 26개 자모의 임의의 치환이 될수 있다면 26! 즉 4 X 10 26 개이상의 
가능한 열쇠들이 있게 된다. 이것은 DES 의 열쇠공간보다 차수로 10이 더 크다 (100 억배 
의 계산량). 이것은 힘내기공격기술로는 분석이 불가능한것으로 된다. 

그렇지만 다른 공격이 가능하다. 만일 암호분석자들이 그 평문의 성질을 알고 있다 
면(실례로 압축 안된 영문) 분석자는 그 언어의 규칙성을 밝혀 낼수 있다. 그러한 암호 
분석을 어떻게 하는가를 보여 주는 하나의 실례를 든다. 풀려는 암호문은 다음과 갈다. 


UZQSOVUOHXMOWGDOZPEVSGZWSZOPFPESXUDBMETSXAIZ 

VUEPHZHMDZSHZOWSFPAPPDTSVPQUZWYMXUZUHSX 

EPYEPOPDZSZUFPOMBZWPFUPZHMDJUDTMOHMQ 

첫 단계 는 매 문자의 상대 빈도를 계 산하고 영 문의 표준빈도분포와 비 교한다 (그림 2- 
6). 만일 통보문이 충분히 길다면 이 기술만으로 충분할수 있다. 그러나 이것은 짧은 통 
보문이기 때 문에 정 확한 대 조는 기 대할수 없다. 이 실례 의 경 우에 문자들의 상대빈도는 
다음과 같다. 
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우의 표와 영문의 평 문을 비 교하여 보면 암호문의 P 와 V 근 평 문의 e 와 t 라고 추정 
할수 있는데 꼭 정확한것은 아니다. 마찬가지로 S , U , ◦， M , H 는 { r , n , i , o , a , s } 
에 대응될것 갈고 또 A , B , G , Y , I , 그는 { w , v , b , k , x , q , j , 사의 어느것과 서 
로 대응할것 같다. 

이러한 관점에서 많은 대응방안들이 있게 된다. 이렇게 림시적인 부과를 하고 어떤 
통보문이 합리적 인 후보로 될수 있는가를 조사해 보게 된다. 보다 규칙적 인 방법은 다른 
규칙성을 더 찾아 내는것이다. 실례로 그 본문에서 어떤 단어들을 알수 있다고 하자. 또 
는 암호문자의 반복되는 렬들을 찾고 그것들의 평문을 추론해 내려고 시도할수 있다. 

강력한 도구로서 두 문자결합의 빈도를 찾아 보는 방법 이 있다. 가장 공통적 인 2중 
음글자는 th 다. 암호문에서 가장 공통적 인 2중음글자는 ZW 인데 그것은 세번 나타난다. 



그림 2-6. 영어문장에서 글자들의 상대적빈도 
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따라서 V 근 t 로， W 는 h 로 대응시 킨다. 초기의 가정 에 의하여 P 와 e 를 대응시 킬수 
있다. 그러면 암호문에서 “ ZWP ” 가 나타나고 그것을 “ die ” 로 넘길수 있다. 이것은 
영어에서 가장 많이 나타나는 3문자결합이다. 

다음 첫 행의 ZWSZ 에 주의하자. 이 4개의 문자가 어떤 완전한 단어를 이루는지는 
알수 없다. 그러 나 만일 그렇 다면 그것은 比 i - t 로 될것 이 다. 따라서 s 는 a 와 같다. 이때 
다음의 대응을 얻게 된다. 

UZQ SUVUOHX MOPVGPOZPEVSGZWSZOPF 

t a e e t e a that e 

PESXU DBM ETSXA IZVUEPHAHM D ZSH Z 

OWSFPAPPDTSVPWUZWYMXUZUHSX EPYEOHMQ 

haeee a e t h t a e 

4 개의 글자들만 확인되였지만 통보문의 일부분을 알게 되였다. 빈도와 시행착오의 
결합의 계술적 인 해석 에 의하여 풀이를 쉽게 얻을수 있다. 단어들사이 에 공백 을 첨 가한 
완전한 평문은 다음과 같다. 


It was disclosed yesterday that sereral informal but 
direct contacts have been made with political 
representatives of the viet cong in muscow 


단일자모암호는 그것이 원래 자모의 빈도자료를 반영하기때문에 쉽게 격파된다. 대 
책은 하나의 문자에 대하여 동음어로 알려 진 다중대입을 제공하는것이다. 실례로 문자 
e 에 는 각이한 암호부호 16，74, 35 혹은 21이 부과될 수 있 다 (매 동음어 들은 우연적 혹 
은 차례로 리용된다). 만일 매 문자에 부과되는 부호들의 개수가 그 문자의 상대빈도에 
비 례 한다면 단일 자모빈도정 보는 완전히 무시 된다. 유명한 수학자 칼 프리 드리 히 가우스 
(Carl Friedrich Gauss ) 는 동음어 를 리 용하여 파괴 할수 없는 암호를 만들수 있 다고 생 
각하였다. 그러나 동음어를 가지고서도 평문의 매 문자는 암호문의 하나의 원소에만 영 
향을 미치며 그 암호문에 대하여 비교적 정확하게 암호분석을 해도 다른 문자패런(즉 빈 
도표)은 여전히 남아 있게 된다. 

대 입암호에서 평문의 구조가 암호문에 남을수 있는 범위를 줄이기 위 하여 두가지 방 
법을 기본 리용하였다. 한가지 방법은 평문의 여러개의 문자들을 암호화하는것이고 다른 
방법은 여러개의 암호자모들을 리용하는것이다. 그것들을 간단히 고찰하자. 

Playfair 암호 

널리 알려 진 다중문자암호는 Playfair 인데 그것은 평문에서 2중음글자를 하나의 단 
위처럼 처리하고 그것을 암호문의 2중음글자로 바꾼다(이 암호는 사실 영국과학자 찰리 
스 위트스톤 (Sir Charles wheatstone ) 이 18 M 년에 고안하였으나 그의 친우인 바론 플레 
이폐 어 (Baron playfair ) 의 이 름을 가지 게 되 였다. Playfair 는 당시 영 국외 국인구락부의 
암호권위자였다). 

Playfair 알고리 듬은 열쇠단어 를 리 용하여 만든 5 x 5 문자행 렬 을 리 용하는데 기 초하였 
다. 그에 대한 하나의 실례가 있다. 
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이 경우에 열쇠단어는 monarchy 이 다. 행렬은 열쇠 단어를 왼쪽으로부터 오른쪽으로， 
우로부터 아래 로 채 우고 행 렬의 나머지칸에 는 열쇠단어 에 속하지 않은 문자들을 자모순 
으로 채 운다. 문자 I 와 J 는 한 문자처 럼 취 급한다. 평문은 다음의 규칙 에 따라 한번 에 
두 문자로 암호화된다. 

1. 같은 칸에 반복되 여 들어 가는 평 문문자들은 채움문자(실례 로 표와 갈은)로 분 
리시 킨다. 그래서 balloon 은 ba lx lo on 와 같이 암호화된다. 

2. 행렬의 갈은 행에 떨어 지는 매개 문자들은 그의 오른쪽 문자로 바뀐다. 행의 
원소는 순환적으로 마지막 원소에 련결된다. 즉 없는 RM 로 암호화된다. 

3. 같은 렬에 놓이는 평문의 문자들은 그 아래의 문자로 바뀐다. 다만 렬의 맨 아 
래문자의 다음 문자를 그 렬의 첫 문자로 한다. 즉 mu 는 CM 로 암호화된다. 

4. 기타 경우 매 평문문자는 행렬에서 그 두 문자를 정점으로 하는 직4각형의 다 
른 정점에 놓이는 문자로 바권다. 이때 평문의 문자에 대응하는 암호문의 문자 
는 대응하는 행에서 다른 정점에 놓이는 문자이다. 즉 hs 는 BP 토， ea 는 IM (혹 
은 암호작성자의 의사에 따라 JM 으로도)로 바권다. 

playfair 암호는 단순한 한자모암호에서의 큰 전진이다. 거기에는 26 개 문자가 아니 
라 26X26=676 개의 2 중음글자가 있으므로 개별적인 2 중음글자의 확인이 더 어렵다. 더우 
기 개별자모의 상대빈도는 2중음글자의 상대빈도보다 크게 변하며 따라서 빈도해석 이 훨 
씬 어려워 진다. 이러한 리유로 하여 playfair 암호는 오래동안 격파할수 없는것처럼 되 
여 왔다. 그것은 1차세계대전시기 영국군에서 표준적 인 암호로 사용되였으며 2차세계대 
전시기에도 미군과 그의 동맹군에 의하여 많이 리용되였다. 그의 보안에서 기밀성수준이 
그만큼 높았지만 이 암호는 비교적 쉽게 격파되였는데 그것은 거기에 본래의 평문의 많 
은 부분의 구조가 손도 대지 않은채로 남아 있었기때문이다. 대체로 암호문이 수백문자 
정도이면 충분하다. 

playfair 암호와 다른 암호의 효과성을 비교하는 한가지 방법을 그림 2_7( SIMM 93) 
에 주었 다. 평 문을 의 미하는 선은 암호학에 대 한 Encyclopaedia Brittanica 에 서 7만개 
이상의 자모글자들 빈도분포를 주고 있다. 여기에는 또한 임의의 단일자모암호의 빈도분 
포를 주고 있다. 그림에서 점은 다음과 갈은 방법으로 그렸다. 즉 본문에서 매 문자의 
출현회수를 세고 문자 근의 출현회수로 나누었다(문자 e 는 영어에서 빈도수가 제일 높 
다). 따라서 e 는 1，소는 약 0.76 등이 다. 수평축우의 점들은 빈도수가 줄어 드는 차례로 
문자들을 배 치 한것 이 다. 
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그림 2—7. 글자들의 상대적인 발생빈도수 


또한 그림 2_7에서는 본문을 playfair 암호로 암호화할 때 얻어 지는 빈도분포를 보 
여 주었다. 그라프를 정규화하기 위하여 암호문에서 매 문자의 출현회수를 평문에서 문 
자 근의 출현회수로 나누었다. 이렇게 얻어 진 그림은 문자들의 빈도분포가 암호화에 의 
해 은폐되는 범위를 보여 준다. 만일 빈도분포정보가 암호화과정에 완전히 은페되였다면 
암호문빈도곡선은 평 탄할것 이며 암호문에 대 한 분석 은 거의 나 불가능할것 이 다. 그림 에서 
볼수 있는것처 럼 playfair 암호는 평 문보다 더 평 탄한 분포를 가지지만 그대신 암호해석 
자들이 처 러해 야 할 구조가 더 많아 진다. 

Hill 암호 

흥미 있는 다중문자암호는 Hill 암호인데 그것은 1929년에 수학자 레 스터 힐 (Lester 
Hill ) 에 의하여 제안되였다. 암호화알고러듬은 개개의 련속적인 평문문자에 대하여 m 개 
의 암호문자들을 대 입한다. 대 입은 m 개의 선형방정 식 에 의하여 결정 되 는데 거 기서 매 
문자에는 수값 ( a =0, b = l , •••z = 25) 이 부과된다. 실례로 m =3 인 경우 체계는 다음과 같 
이 서술된다. 


36 





C \ =(KnPi + K 12^2 +^13^3,)1110(1 26 
C 2 =( K 2 \ P \ + K22P2 + K23P3 )rnod 26 

C3 = ( K ^\ P \ + [32규2 + [ 33 규 3 )mod 26 


이것을 행렬과 벡토르로 표현할수 있다. 



혹은 

C = KP 

여기서 C 와 P 는 길이가 3인 렬벡토르로서 각각 평문과 암호문을 표시하며 K 는 3 X ： 
3행 렬로서 암호열쇠를 표현한다. 연산은 mod 26 으로 수행된다. 

실례로 평문 “ Paymoremoney ” 와 암호열쇠 

r \l 17 5 " 

K = 21 18 21 

2 2 19 

V / 

를 리 용하면 평 문의 첫 세 문자는 벡 토르 (15 0 24) 로 표시된다. 이때 K (15 0 24) = (375 
819 486) mod 26 =(ll 13 18)= LNS 이 다. 이 런 방식 으로 계 속하여 원래 의 평 문에 대 응한 
암호문 “ LNSHDLEWMTRW ” 을 엄는다. 

복호에 는 K 의 역 행 렬을 리 용한다. K 의 역 행 렬 K _1 은 식 K—K^KK： 1 ^ 에 의 하여 정 
의된다. 여기서 I 는 단위행 렬(주대각선에서만 1 ，기 타는 령)이 다. 이 경우에 


"4 9 15" 

K" 1 = 15 17 6 
2A 0 17 ᄎ 


'17 17 5 ' 

4 9 15 、 


ᄉ 443 442 442' 


1 0 0 、 

21 18 21 

15 17 6 


858 495 780 

mod 26 = 

0 1 0 

、1 2 19 ᅴ 

0 17) 


494 52 365 ᅴ 


0 0 1 니 


K _1 을 암호문에 적 용하면 평문이 얻 어 진다. 선형대수와 관련한 내 용에 대 해서 는 매 
우 간단히 취 급하였 는데 흥미 있 는 독자들은 해 당한 참고서 를 리용할수 있다. 

임의의 바른행렬 ( mxm ) 에 대하여 행렬식은 매행，매렬에서 꼭 하나의 원소를 취한 
모든 적들과 어떤 항에 미누스부호를 불여 취한 적들의 합과 갈다(행렬식의 정의를 참고). 
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2X2 행렬 즉 


玄 u K 12 
K 21 K 22 


에서 행렬식은 穴:이다. 3X3 행렬에서 대하여 행렬식의 값은 

하 1모22모33 + 모 21 及32모13 + 포31모12모23 - 모31포22모13 — 모21모12포33 - 포11모32포23 이 다. 

만일 바른행 렬 A 가 령 아닌 행 렬식 값을 가진다면 행 렬의 거물행 렬은 [ A ： 1 ],； 广 (- 
l ) ,+ J '( D , y )/ det ( A )<^14. 여 기서 (마)는 A 의 /번째 행과 j 번째 렬을 제거 하여 만든 부분행 
렬식의 값이고 det ( A ) 는 A 의 행렬식값이다. 계산에서 연산은 mod 26 에 의한것이다. 

일반적으로 Hill 암호체계는 다음과 같이 표현된다. 

C = E k ( P ) = KP 
P = D k ( C ) = K~ l C = K~ l KP = P 

Playfair 와 마찬가지로 이 암호의 강도는 한문자빈도를 완전히 은페시키는데 있다. 
사실 더 큰 행렬을 리용하면 더 많은 빈도정보를 은페시킬수 있다. 따라서 3X3 Hill 암 
호는 단일 자모빈도정 보뿐아니 라 두문자빈도정 보도 은페 한다. 

Hill 암호가 암호문공격에는 강하지만 기지평문공격 (Known plaintext attack) 에는 
쉽게 격파된다. mxm Hill 암호에 대하여 m 개의 평문-암호문쌍을 가진다고 하자. 물론 
매 개의 길 이는 m 이 다. 이 쌍들을 P j =( P 1 j , P 2 j ,---, P mj ), C 7 =( 이， C 2 厂••，(：때)으로 표시 하 
면 1 육/‘ m 이 고 몇 개의 열쇠행 렬 K 가 알려 지지 않은 경 우 C y =KP/>l 다. 두개의 mxm 행 
렬을 정의 하자. 그러면 행렬식을 y = XX 로 쓸수 있 다. 만일 X 4 거물을 가진다면 
x = 이 다. 만일 1가 퇴화이 라면(행렬식값이 령이 라면) 퇴화 안되는 x 가 얻어 질 
때까지 평문-암호문쌍을 추가하면서 조작을 반복해 야 한다. 

문헌 [ STIN 95] 에서 취 급한 실례 를 보겠다. 평문 “ Friday ” 가 2 x 2 Hill 암호에 의 
하여 암호화되 여 PQCFKU 가 엄 어 졌다고 하자. 즉 K (5 17) = (15 16)； K (8 3) = (2 5)； 
K (0 24) = (10 20) 이 다. 첫 두 평문-암호문쌍을 리 용하면 다음과 갈다. 



표의 거끌은 다음과 같이 계산된다. 

대 =[ 디 

따라서 



이 결과는 나머지 평문_암호문쌍을 검사해 보면 명백히 확인된다. 
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다중자모암호 

단순한 단일자모 ( monoalphabetic ) 기술에 대 한 한가지 개선방법은 평문통보문을 처 
리 할 때 각이 한 단일 자모대 입 을 리 용하는것 이 다. 이 수법 의 일 반적이 름이 다중자모암호 
이 다. 이 모든 방법들은 다음과 갈은 일반적 인 특징을 가진다. 

1. 해당 단일자모대입규칙들이 리용된다. 

2. 열쇠는 어느 특정의 규칙이 주어 진 변환에 대해 선택되는가를 결정한다. 

잘 알려 진 매우 단순한 알고리듬은 Vigenere 암호이 다. 이 방식 에서 해 당 단순자모 
대 입 규칙들은 26개의 씨 저암호를 이분다 (0 〜25개의 밀기를 가지 는) . 매 암호는 열쇠글자 
에 의해 표시되는데 그것은 평문의 문자 a 에 대하여 대입되는 암호문의 문자이다. 밀기 
3을 가지는 씨저의 암호는 열쇠값 선로 표시된다. 

방식의 리해와 리용을 돕기 위해 Vigenere 표라고 부르는 행렬이 만들어 졌다(표 2-4). 
26개의 매 암호문자는 수평으로 놓이며 그 표의 왼쪽에 매 암호에 대한 열쇠문자를 주었다. 
평문에 대한 표준자모는 우에서부터 흙는다. 암호화과정은 다음과 갈다. 가령 열쇠자모 
X ，평문의 문자 모가 주어 지면 암호문자는 표의 X 행 y 렬에 놓이는 문자 V 가 된다. 

통보문을 암호화하는데는 그 통보문만큼 긴 열쇠 가 필요하다. 흔히 열쇠는 열쇠단어 
들의 반복이 다. 실례 로 열쇠단어 가 “ decepttve ” 이 고 통보문이 “We are discovered 
Save yourself ” 이면 그것의 부호화는 다음과 같다. 

열 쇠 : deceptivedeceptivedeceptive 

평 문: wearediscoveredsaveyourself 

암호문: ZICVTWQNGRZGVTWAVZHCQYGLMGJ 

복호화는 다음과 갈다. 암호열쇠문자는 행 을 결정한다. 암호문의 문자는 해 당 행 에 
서 렬을 결정한다. 복호된 문자(평문의 문자)는 정 해 진 렬에서 꼭대 기위 치 에 놓이 는 문 
자이다. 

이 암호의 강도는 매 평문문자나 열 쇠단어 의 매 문자에 대 하여 다중암호문문자가 하 
나이 라는데 있다. 그러 므로 문자빈도정 보는 은폐 된다. 그러 나 평문구조에 대 한 모든 정 
보가 잃어 지는것은 아니다. 실례로 그림 2_7에 길이가 9인 Vigenere 암호에 대한 빈도 
분포를 제시하였다. playfair 암호에 비해 상당히 개선되였으나 여전히 빈도정보가 남아 
있 다. 

이 암호를 격파하는 방법을 서술하는것은 교육학적과정과 관련된다. 그것은 이 방법 
이 암호분석이 적용되는 수학적원리에 기초하고 있기때문이다. 

첫째로, 적은 암호문이 단일자모대입 이나 Vegenere 암호를 리용하여 암호화된것으로 
알고 있다고 가정 하자. 간단한 검사를 하여 그중 어느 하나인가를 결정할수 있다. 만일 
단일자모대입이 리용된다면 그 암호문의 통계적성질은 대응하는 평문의 언어의 통계적성 
질과 같게 될것 이 다. 그래서 그림 2_6에서 알수 있는것처 럼 어떤 암호문자는 상대적 발생 
빈도수가 대 략 12. 75%이 고 다른것은 대 략 9.25% 등으로 된다. 만일 간단한 통보문만이 분 
석될수 있다면 이 표본통보문이 평문언어의 통계적거동과 정확히 일치할것이라고는 기대 
할수 없 다. 그러 나 그 대 응이 가깝다면 어 떤 단일 자모대 입 을 가정할수 있 다. 
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다른 한편 Vigenere 암호가 짐 작되면 처 리는 인차 알수 있는것처 럼 열쇠단어의 길이 
를 결정 하는데 귀 착된다. 먼저 열쇠단어길이를 어떻게 결정 하는가를 보자. 요점은 다음 
과 갈다. 만일 평문문자들의 동일한 렬들이 열쇠단어길이의 옹근수배수인 거리에서 나타 
난다면 그것 은 일 치하는 암호문문자렬을 발생 시킬것 이 다. 우의 실례 에서 두 기 호렬 
“ red ” 사이의 거리는 9문자이다. 결국 두 경우에 r 는 열쇠문자 e 를 리용하여 또 e 는 
열쇠문자 P 를 리용하여 그리고 d 는 열쇠문자 t 를 리용하여 암호화되였다. 그래서 두 경 
우에 암호문렬은 VTW 이 다. 

암호문만을 주목하는 분석자들은 거 리 9에서 반복되는 기호렬 VTW 를 검출할수 있 
으며 그 열쇠단어는 길이 가 3 혹은 9이 라는 가정을 하게 된다. 그러 나 그 통보문이 충분 
히 길면 거기 에 는 반복되는 암호문렬 이 여 러 개 있을수 있다. 그 각이한 렬의 반복되는 
거 리의 공통인수를 고찰하여 분석자들은 열쇠단어의 길이에 대한 추측을 할수 있다. 

이때 암호분석은 중요하게 통찰력 에 의존한다. 만일 열쇠단어의 길이 가 N 이면 그 
암호는 사실상 n 개의 단일자모대 입암호들로 구성된다. 실례 로 열쇠단어 DECPTIVE 에 
의하여 위 치 1，10，19 등에 있는 문자들은 모두 갈은 단일 자모암호로 암호화된다. 매 
개 단일 자모암호를 제 각기 공격 하기 위하여 알려 진 평문언어 의 빈도수특성 을 리용할 
수 있다. 

열쇠단어 의 주기 적성 질은 통보문만큼 긴 비 반복적 인 열쇠단어를 리용함으로써 피할 
수 있다. Vigenere 는 이른바 자동열쇠체 계 를 제 안하였는데 거 기서 열쇠 단어 는 열쇠단어 
에 실행열쇠를 제공하기 위하여 평문 그 자체와 련결된다. 이 경우에 다음과 같다. 

열 쇠 : deceptiveuearedisscoverdsar 

평 문: wearediscoveredsavieyourself 

암호문: ZICVTWQNGKZEIIGASXSTSLWWLA 

이 방식 도 암호분석 에 약하다. 그것 은 열쇠 와 평문이 문자와 같은 문자빈도분포를 
가지 므로 통계 적 기 술을 적 용할수 있기 때 문이 다. 실례 로 그림 2 — 6으로부터 e 에 의하여 
암호화된 e 는 (0.1275) 2 &0.0163의 빈도로 발생하며 H ᅵ 의하여 암호화된 t 는 이 것의 약 
절반으로서 발생한다. 이 러한 규칙성은 암호분석 자들이 암호분석을 실현하는데 리용될수 
있 다. 

그러한 분석을 막기 위한 궁극적대책은 평문과 갈은 길이를 가지며 그것과 아무런 
통계적관련이 없는 열쇠단어를 선택하는것 이 다. 그러한 체 계는 1910년에 힐베르트 버 남 
(Gilbert Vernum ) 이라는 AT & T 의 공학자에 의하여 제안되였다. 그 체계는 문자에서가 
아니라 2진자료에서만 동작하였다. 체계는 다음과 같이 간단히 표현할수 있다. 


여기서 


Cj =Pj ®Kj 


P ,_= 평 문의 i 번째 2진수자 
U ? -= 열쇠의 i 번째 2진수자 
C t = 암호문의 i 번째 2진수자 
校 = 배타적론리합연산 ( or ) 


즉 암호문은 평 문과 열쇠의 비 트끼 리의 XOR 연산을 진행하여 생성된다. XOR 의 성 
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질로부터 복호는 갈은 비트렬에 대한 연산으로 실현된다. 즉 


Pi=Ci®Ki 

이 기술의 본질은 열쇠를 만드는 방법이다. 버남 ( Vernam ) 은 그 열쇠를 실제로 반 
복시키는 레 프의 실행순환을 리용할것을 제 안하였는데 체계는 사실상 열쇠단어들이 반복 
되는 매우 긴 열쇠로 작업하였다. 그 방식에서 긴 열쇠를 씨서 엄청난 암호분석곤난을 
배출한다고 해도 그것은 충분한 암호문을 가지고 가능한 평문의 렬 또는 그것을 다 리용 
하여 파괴할수 있 다. 

죠세 프 마으보그네 (Joseph Mauborgne ) 는 보안의 한계 에 도달한 버 남암호의 개선 
을 제기하였다. 마드보그네는 반복되지 않는 통보문과 갈은 길이의 우연적인 열쇠를 리 
용할것을 제안하였다. 한번쓰기발치 개로서 알려 진 이러한 방식은 격파할수 없다. 그것 
은 그 평문과 아무런 통계적관계도 가지지 않는 우연적 인 출력을 내보낸다. 암호문은 평 
문에 대한 그 어떤 정보도 포함하지 않으므로 거기에는 그것을 해석하는 아무런 방법도 
존재할수 없다. 이 방법 을 실천적 으로 적 용하는데 서 문제 는 송신자와 수신자가 우연적 이 
며 보호된 열쇠를 가지고 있어야 하는것이다. 따라서 그것은 독특한 암호임에도 불구하 
고 거의 리용되지 않는다. 

전치 기술 

지금까지 론의된 모든 기술은 평문의 매 기호에 대 한 암호문기호의 대 입이였다. 매 
우 각이한 종류의 넘기기는 평문의 문자들에 대한 어떤 종류의 치환에 의하여 진행된다. 
이 기 술은 전치암호라고 부론다. 

그러한 암호로서 가장 단순한것은 울타리보호기술인데 거기에서 평문은 대각선방향 
으로 씌여 지고 암호문은 행 방향으로 읽 어 낸다. 실례로 통보문 “meet me ofter the 
toga party ” 를 울타리보호기술로 암호화하기 위하여 다음과 같이 쓴다. 

mematrhigpry 


암호화된 통보문은 다음과 같다. 

MEMATRHTGPRYETEFETEOAAT 

이 러 한것은 분석 이 쉽다. 더 복잡한 방식은 직4각형 으로 통보문을 가로 쓰고 렬의 
순서를 치환하여 내리 읽어 내는것이다. 렬의 순서는 알고리듬에서 열쇠로 된다. 실례로 

열쇠: 4312507 

평문: a t t a c k p 

o s t p o n e 


w o a m x y z 

암호문: TTN A APTMTSUO AODWCOIXKNIYPETZ 
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순수한 전치 암호는 쉽게 분석 할수 있다. 그것은 암호문이 초기평문과 갈은 문자빈도 
를 가지기때문이다. 우의 렬전치형에서 암호분석은 간단한데 암호문을 행렬로 놓고 렬의 
위 치 들에 대 하여 분석 을 진행한다. 2중음글자와 3중음글자의 빈도수표를 리 용할수 있 다. 

전치암호는 전치 를 여 러 단계 진행하는것 에 의하여 더 효과적 인 보안을 보장한다. 
결과 재구성하기 쉽지 않는 보다 복잡한 치환이 얻 어 진다. 따라서 우의 통보문을 갈은 
알고리 듬을 리 용하여 재암호화하면 다음과 갈다. 

열쇠: 4212567 

입력: t t n a a p t 

m t s u o a o 
d w c o i x k 
n 1 y p e t z 

출력: NSCYAUOPTTWLTMDNAOIEPAXTTOKZ 

이 2 중전치의 결과를 가시화하기 위하여 초기평문통보문의 문자를 그 위치에 부가된 
수자로 표시한다. 따라서 통보문에 서 28개 문자들에 대 하여 원래 의 문자들의 렬 은 다음 
과 같다. 


01 02 03 04 05 06 07 08 09 10 11 12 13 14 

15 16 17 18 19 20 21 22 23 24 25 26 27 28 

첫 변환후에는 다음과 같다. 이것은 어느 정도 규칙적인 구조를 가진다. 

03 10 17 24 04 11 18 25 02 09 16 23 01 08 

15 22 05 12 19 26 06 13 20 27 07 14 21 28 

2번째 변환후에는 다음과 같다. 

17 09 05 27 24 16 12 07 10 02 22 20 03 25 

15 13 04 23 19 14 11 01 26 21 18 08 06 28 

이것은 훨씬 덜 구조화된 치환으로서 암호분석이 그만큼 더 힘들어 진다. 

회전기 계 

우에서 고찰한 실례에서 알수 있는것처럼 암호분석을 더 어렵게 하는데서 다중암호 
화알고리듬이 효과적 이 다. 이것은 대 입암호뿐아니 라 전치암호에서도 마찬가지 이 다. 
DES 의 도입 이전에 암호화의 다중단계원리의 가장 중요한 응용은 회 전기 계 라고 알려 진 
체계들의 부류였다. 

회전기계의 기본원리를 그림 2_8에 보여 주었다. 기계는 임플스전류가 흐르게 되여 
있는 독립적으로 회전하는 원통들의 모임으로 이루어 졌다. 매 원통에는 각각 26개의 입 
력핀과 출력핀이 들어 있다. 내부배선은 매 입력핀에 유일한 출력핀을 련결시키도록 하 
였 다. 간단히 하기 위하여 매 원통에 서 3개 의 내 부련결만 제 시하였 다. 
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그림 2—8. 번호판접촉에 의하여 표현된 배선을 가지는 3-회전기계 


만일 매 입 력핀과 출력핀을 자모의 문자와 맺 어 준다면 하나의 원통은 어 떤 단일 자 
모대 입 을 정 의한다. 실례 로 그림 2_8에서 조작자가 문자 A 에 대 한 건을 누른다면 전기 
신호는 첫번째 원통의 첫 핀에 들어 가서 내부회로를 통하여 25번 출력핀에 간다. 

한개의 원통을 가진 기계를 고찰하자. 매 입력건을 누른후에 원통은 한 위치만큼 회 
전한다. 따라서 내부결선도 한 자리 밀 린다. 이 렇게 하여 어떤 다른 단일자모대 입암호가 
정의된다. 평문의 26개 문자들다음에 원통은 초기위치에로 돌아 간다. 결국 주기 26인 
여 러 자모대 입알고리 듬으로 된다. 

단일 원통체 계 는 보잘것 없 으며 강한 암호분석 공격 을 감당할수 없 다. 회 전기계 의 위 
력은 여러개 원통의 리용에 있다. 여기서 한 원통의 출력핀은 다음원통의 입력핀과 련결 
된다. 그림 2—8에 3-원통체계를 보여 주었다. 그림의 왼쪽 절반에서 조작자가 첫번째 
핀(평문문자 a ) 에 즉 입 력은 세개의 원통을 지 나서 두번째 핀(암호문의 문자 B ) 에 나타 
나는 과정을 보여 주었다. 

여 러개 원통의 경우에 조작자로부터 가장 먼곳의 하나의 입력은 매번 건눌림할 때마 
다 하나의 핀위치를 회전한다. 그림 2_8의 오른쪽은 한번의 입력이 있은후의 체계의 거 
동을 보여 주었다. 바깥원통의 옹근회전동안에 중간원통도 한 핀의 자리만큼 회전한다. 
또 중간원통의 옹근회전동안에 내부원통도 한 핀의 위치만큼 회전한다. 이것은 자동차의 
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거리기록계와 같은 원리로 동작한다. 결국 체계가 반복되기전에 26 X 26 X 26=17576 개의 
서로 다른 대입자모들이 있게 된다. 4개의 원통과 5개의 원통을 보충하며 각각 456976, 
11011376개의 문자들의 주기 가 엄 어 진다. 다비드 카우 (David Kahu ) 는 5회전기계 에 대 
하여 다음의 내 용을 지 적하였다 [ KAHN 96, 413페지] . 

그 길이의 주기는 문자빈도에 기초한 직접적인 풀이의 가능성을 좌절시킨다. 이 일반적 
풀이방법에서 매 암호문자당 약 50개의 문자가 필요될것이 다. 그 의미는 모든 5개의 회전기 
계들이 그 결합순환을 50번 지나야 한다는것이다. 암호문은 국회에서의 모돈 연설들처럼 길 
수 있다. 암호분석 자들# 자기의 생존시 에 는 그러 한《 진상품》을 가질것 갈지 않다. 

회 전기계의 의의는 오늘 가장 널 리 리용되 고 있는 암호인 DES 의 방법을 명시한데 
있다. 이에 대하여 3장에서 구체적으로 보게 된다. 
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문 제 

1. 그림 2 — 3 에 들어 있는 통보문은 무엇인가? 

2. 이 문제의 목적은 1회용에 대한 비파괴성을 보여 주는것이다. 27개의 자모에 의 
한 Vigenere 방식을 리용한다고 가정하자(여기서 27번째 문자는 공백기호이다). 
열쇠의 길이는 통보문의 길이와 같다. 암호문이 다음과 같이 주어 졌다고 하자. 

ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS 
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다음의 평문을 주는 열쇠를 찾으시오. 


MR MUSTARD WITH THE CANDLESTICK IN THE HALL 
또한 다음의 평문을 주는 다른 열쇠를 찾으시오. 

MISS SCARLET WITH THE KNIFE IN THE LIBRARY 
결과를 설명하시오. 

3. 도로씨 세 이어 (Dorothy Sayer) 의 수수께끼들중에서 로드 페터 (Lord Peter) 는 
그림 2 — 9에 제시된 통보문과 부닥친다. 그는 옹근수들의 렬인 통보문의 다음과 
갈은 열쇠도 찾는다. 

78765654343211234345的67878878765654 
3432112343456567878878765654433211234 

통보문을 분석하시 오. 암시 : 가장 큰 옹근수값은 무엇 인가? 

L) 알고리듬은 알지만 열쇠는 모른다면 그 방식은 얼마나 안전한가? 
c ) 열쇠는 알지만 알고리듬을 모른다면 그 방식읏 얼마나 안전한가? 

4. 다음의 암호문은 단순한 대 입알고리듬을 리용하여 생성되 였다. 

53 t J 卞 305))6* ;4826)4 ： 1 ： );806* ;48 卞 8 160))85; ;]8*;: J *8t83 
(88)5* 卞 ;46(;88*96*?;8) * t (;485);5* J 2 - * J (;4956*2(5*_4(8 18* 

； 4069285) ； )6f 8)4i t ; 1 ( J 9;48081 ;8:8 J 1 ;48 卞 85;4)485 卞 528806*81 
(t 9 ； 48 ； (88 ； 4J ?34 ； 48)4J ； 161 ；： 188 ； t ?； 

이 통보문을 분석하시 오. 암시 : 

1) 영어에서 빈도가 가장 높은 문자가 e 이라고 하면 통보문에서 빈도가 첫번 
째 또는 두번째 인 문자를 e 로 볼수 있다. e 는 쌍으로도 나타날수 있다(실 
례 로 meet, fleet, speed, seen, been, agree 등). 그 암호문에서 근로 
복호되는 암호문의 문자를 찾으시오. 

2) 영 어 에서 가장 공통적으로 나타나는 단어는 “the” 이 다.이 사실을 리용 
하여 t 나 h 로 복호될 기호를 찾으시오. 

3) 보조단어들을 추론하여 나머지 통보문을 복호하시오. 

주의: 결과통보문은 영어이나 처음 읽을 때 의미가 잘 안겨 오지 않을수 있다. 

5. 열쇠배포문제를 푸는 하나의 방법은 송신자와 수신자가 다같이 가지고 있는 어떤 
형식의 책을 리용하는것이다. 대표적으로 정탐소설에서는 책의 첫 문장이 열쇠로 
될수 있다. 이 문제 에서 론의되는 특수한 방식은 비밀부호를 포함하는 모호한 소 
설의 한 문장을 론의한다. 실례 로 라드 렌델 (Rath Rendell) 의 소설 《Taking 
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to strange men》 를 고찰하자. 이 문계를 그 책의 내용과 관계 없이 고찰하자. 


I thought to su>tke^furUf iM/tktjUldt, but I sMvotdy the evil 


de^uMti unt^tkurbUck,bexks. Wot!kourth± 여 kt Amduu^ Tke> 
tU/tt dojicui ali atomuC (uut about whiU I htArti i/oictf caUUi^ dearly. 

hour I trie/C to set — tkrouro^tht u^ly cloud — but no blituL tyt 0 卜 
mortidmip^rmitUto spy them. So tkeKmtutreU, fuwuy joU 
trumpeti, harpf muL drum. The 대 playtei utry LotiMy btsuU hu^ 
brtAki 생 that 예 So tke^ tiruun, imnirfud, uAurud ： t tkmlcui Hta 公 t 凡 I 


fA 公스 numy tturs before, th 公 thin ttu>opo roit 〒 freul meifaint m a, sickU of 
rfnu 次 Now tkou^iv tke^ BnchAnter jKcufv his teeth vtdtdy, yU thdi 
return m tfu 야 r— returns. 公公 wretckU mmU Hell 伊〒幻 , EreJm now 
opou Tfu 나 M:ths 寸 DMthu— otvtfty ttuL 


그림 2-9. 로드 폐터가 부닥친 수수께끼 


다음과 같은 통보문이 있다. 

SIDKHKDM AF HCRKIABIE SHIMC KD LFEAILA 

이 암호문은 The Other Side 0/ SiZewcera 의 첫 문장을 리 용하여 만들었 다(첩 자 Kim 
Philby 에 대한 책). 

단순대 입암호문이 리용되 였 다. 

1) 암호화알고리듬은 무엇인가? 

!_) 얼마나 안전한가? 

n) 열쇠배 포문제 를 단순화하기 위하여 대 방들은 열쇠 로서 그 책의 첫 문장 
또는 마지 막 문장의 리 용을 약속할수 있다. 열쇠 를 변경하려 면 어떤 새 
책 에 대 한 합의 가 펼 요하다. 첫 문장의 리용은 마지 막 문장의 리 용보다 
더 적합하다. 왜 그런가? 

6. 샬로크 홈스 (Sherlock Holmes) 는 다음의 통보문을 받았다고 하자. 

534 C2 13 127 36 31 4 17 21 41 
DOUGLAS 109 293 5 37 BIRLSTONE 
26 BIRLSTONE 9 127 171 

와트손 (Watson) 은 당황해 하였으나 홈스 (Holms) 는 암호의 형태를 곧 추출하였 
다. 당신은 어떻게 하겠는가? 
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일반적인 단일자모암호의 약점은 송신자와 수신자가 다같이 기억기에 치환된 암 
호렬을 기억해 두어야 하는것이다. 이것을 피하는 일반적인 기술은 암호렬을 생 
성할수 있는 열쇠단어 를 리용하는것 이 다. 실례 로 열쇠단어 CIPHER 를 리용하여 
표준순서 로 비상용문자들을 열쇠단어뒤 에 써 내고 그것을 평문의 문자들과 대조시 
킨 다. 

평문: abcdefghijklm nopqrstuvw xyz 

암호문: CIPHERABDFGJKLMNOQSTRVWXYZ 


만일 이 과정 이 충분한 혼합을 얻어 내지 못하게 되면 나머지 문자들을 아래와 
같이 가로 쓰고 렬방향으로 읽 어 낸 다. 


C 


R 


A 


J 


K 


Q 


S 


X 


그러면 다음의 렬을 엄는다. 

CAKSYIBLTZPDMUHFNVEGOWRJQX 


그러한 체계는 3절의 실례 에서 리용하였다. 열쇠단어를 결정하시오. 

Playfair 암호에서 가능한 열쇠는 얼마나 많은가? 풀이를 2의 근사제곱으로 표시 
하시오. 

만일 평 문一암호문쌍이 충분히 제 공된다면 Hill 암호는 기지 평 문공격 에 의하여 격 
파된다. 선택평문공격을 쓰면 Hill 암호는 더 쉽게 풀릴것이다. 그러한 공격을 설 
명 하시오. 




제 3 장. 전틍암호: 현대기술 

이 장에서는 현대전통암호의 원리를 서술한다. 이를 위하여 가장 널리 보급된 전통 
암호알고리 듬인 DES(Data Encryption Standard) 에 대 하여 론의 한다. DES 가 나온 이 
후에 수많은 전통암호알고리듬들이 제안되였지만 DES 는 여전히 중요한 암호알고리듬으 
로 되고 있다. 더우기 DES 의 면밀한 연구는 다른 전통암호알고리듬에서 리용된 원리볼 
을 리해하는데 도움을 준다. 4장에 서 는 그밖의 중요한 전통암호알고리 듬들을 취 급한다. 

RSA 와 같은 공개열 쇠암호방식 에 비해 볼 때 DES 의 구조는 매 우 복잡하며 RSA 처 
럼 간단히 설명할수 없다. 따라서 수동적 인 암호화와 복호의 실험 은 알고리 듬세부들의 
동작과정을 옳바로 리해할수 있게 한다. 교수경험은 이러한 간단한 교재의 학습이 DES 
에 대 한 리해를 도모한다는것을 보여 준다. 

단순 DES 에 대한 론의에 이어 이 장에서는 대칭블로크암호의 일반원리를 고찰하는 
데 그것은 이 책에서 취급하는 전통암호알고리듬의 류형 이다. 다음으로 DES 를 전반적 
으로 취급하며 계속하여 블로크암호설계의 일반적론의를 더 심화시킨다. 


3.1 단순 DES 

단순 DES 는 안전한 암호알고리 듬이라기 보다 교육적 성 격 을 가진다. 그것 은 DES 보다 
훨씬 적은 파라메터를 가지 나 DES 와 류사한 성 질과 구조를 가전다. DES 는 싼타클라라 
종합대 학 (Santa Clara University) 의 에 드와르드 쇄 퍼 (Eduward Schaefer) 에 의 하여 
개 발되 였 다. 독자들은 실례 들을 수동적 으로 해 보는 과정 을 통하여 더 잘 리 해할수 있을 
것 이 다. 

개팔 

그림 3—1에 단순 DES 의 총적구조를 보여 주었다. 앞으로 단순 DES 를 S—DES 로 표 
기 하기 로 한다. S—DES 암호알고리듬은 입 력으로서 8bit 의 평문블로크와 lObit 열쇠를 가 
지며 출력으로 8bit 암호문블로크를 내보낸다 .S — DES 복호알고리듬은 8bit 암호문의 블로 
크와 같은 lObit 열쇠를 리용하여 본래의 8bit 평 문블로크를 내보낸다. 

암호화알고리듬은 5개의 기능 즉 초기치환 (IP)， 치환과 대 입 연산자를 다 가지며 열 
쇠입력 에 의존하는 복소함수 f k , 자료의 두 절반부분을 서로 바꾸는 단순치환함수 SW, 
함수 f k , 초기치환의 역치환 IP _1 을 가진다. 2장에서 언급한것처 럼 치환과 대 입의 다단리 
용은 알고르듬을 복잡하게 하며 그것은 암호분석을 더 어렵게 한다. 

함수 知는 입력으로서 암호알고리듬을 통과하는 자료뿐아니라 8bit 열쇠도 가진다. 
알고리듬은 2개의 8bit 부분열쇠로 이루어 지는 16bit 열쇠로 작업하게끔 설계되였는데 f k 
의 매 출현에 대하여 하나의 8bit 부분열쇠만 리용되게 되여 있다. 교대적으로 단일 8bit 
一열쇠가 리용되는데 알고리듬에서 같은 열쇠가 두번 리용된다. 그림 3—1에서 보여 주 
는것처럼 절충적으로 두개의 8bit —부분열쇠를 발생하는데 lObit 열쇠를 리용한다. 이 경 
우에 열쇠는 먼저 치환된다 (P10). 다음 밀기연산이 수행된다. 이 밀기연산의 출력은 첫 
부분열쇠 仏를 위한 8bit 출력 (P8) 을 생 성하는 치 환함수를 통과한다. 또한 밀기연산의 
출력 은 다른 밀기 연산과 P8 의 다른 구체 례 에 들어 가 두번째 부분열쇠 K 2 을 만든다. 
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10 -bit 열쇠 


암호화 

8 -bit 평 문 

1 

다》 

I j I 
I | 1 *~ 

I 주 I 


I j I 

| Shift | 


복호화 


K ! 




Ki 


k 2 


| SM~t | 

'프 7 


K 2 


I s : I 

小十 1 

I ^ I 


그림 3-1. S — DES 도식 

암호알고리듬을 함수의 합성으로 정확히 표현할수 있다. 즉 
IP " 1 • fK2 • SW • Lq • IP 


또는 


암호문 = IP _1 ( fK 2( SW ( f K 1 ( IP (평 문))))) 























여기서 


Ki = P 8 (Shift ( P 10 ( key ))) 
K 2 = P 8 (Shift (Shift ( P 10 ( key )))) 


10 -bit 열 쇠 



그림 3-2. S — DES 에서의 열쇠생성 

복호는 그림 3—1에 제 시한것 과 갈으며 본질 적 으로는 암호화의 거 끌과정 이 다. 즉 
평 문 = IP _1 ( f Ki (SW (fe (IP (암호문) )))) 

이제 S _ DES 를 더 구체적으로 고찰하자. 

S 一 DES 으 I 열쇠생성 

S — DES 는 송신자와 수신자가 공유한 10 bit _ 열쇠의 리용에 의존한다. 이 열쇠로부 
터 두개의 8 bit _ 부분열쇠를 만들어 암호화와 복호화알고리듬의 개별적단계들에서 리용 
한다. 그림 3_2에 부분열쇠 들의 생 성단계 들을 보여 주고 있 다. 

다음과 같은 방식으로 열쇠를 취환한다. 먼저 lObit 열쇠를 다음과 같이 표시하자 
( k lf k 2 , fyh ， h ， h , k 7 , k 8 ,ks k 10 t 치환 P 10 를 다음과 같이 정의 한다. 즉 
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P 10 (ki, 灰2, 灰3, 及4, 灰5, 灰6, 灰7, 灰8, 及9, 灰 10) = (灰3, 소5, 소2, 소7, 소4, 及10, 소1，灰9, 及8, 及 6) 


이 P 10 을 그림 으로 표시하면 다음과 같다. 


P10 

35274 10 1986 


이 표를 왼쪽으로부터 오른쪽으로 읽는다. 표에 서 매 자리 는 그 자리 에 서 출력비 트 
를 내 보내는 입 력비트를 준다. 따라서 첫 출력비트는 입 력의 3 번째 비트，두번째 출력은 
입력의 5 번째 비트 등과 같다. 실례로 열쇠 (1010000010) 은 열쇠 (1000001100) 로 치환된다. 
다음에 결과를 수의 첫 다섯비트와 두번째 다섯비트에 대 하여 각각 비트반전 혹은 한비 
트왼쪽순환밀기 (LS — 1) 을 수행한다. 우의 실례 에서 결과는 (0000111000) 으로 된다. 

다음에 P 8 을 적용하는데 그것은 다음규칙에 따라 lObit 중에서 8 bit 를 골라 내여 치 
환한다. 즉 



이 결과가 부분열쇠 KKO 이다. 우의 실례에서 결과는 (10100100) 이다. 

다시 먼저 실시한 P 10 과 두개의 LS — 1 의 실행결과에 두비트순환밀기를 매 부분렬에 
적용한다. 우의 실례에서 (0000111000) 은 (0010000011) 로 된다. 끝으로 P 8 을 다시 적용 
하여 K 2 을 얻는다. 우의 실례에서 K 2 은 (01000011) 로 된다. 

S-DES 암호화 

그림 3_3 에 S—DES 암호화알고리듬을 대 략적으로 보여 주었다. 이미 언급한것처럼 암 
호화는 5 개 함수들의 순차적 인 적용과정을 포함한다. 이제부터 그 매 함수들에 고찰한다. 


초기치 환과 최 종치 환 

알고리듬에 대한 입력은 평문의 8 bit 블로크인데 IP 함수를 리용하여 먼저 치환한다. 


IP 

2 6 3 1 4 8 5' 


이 과정 에 평문의 8 bit 모두가 그대 로 유지 되 면서 다만 섞 어 진 다. 알고리 듬의 마지 
막에 거끌치환이 리용된다.두번째 치환이 실제로 첫 치환의 거물 즉 IP _1 ( IP ( X))=X 이라 
는것을 실례를 통하여 쉽게 알수 있다. 



함수 fk 

S-DES 에서 가장 복잡한 성분이 f k 인데 이것은 치환과 대 입함수의 결합으로 이루어 
져 있다. 이 함수를 다음과 같이 표현할수 있다. 가령 L 과 요를 각각 知에 대한 8 bit 입 




력의 맨 왼쪽 4 bit 와 맨 오른쪽 4 bit 라고 하자. 그리고 F 를 4 bit 렬로부터 4 bit 렬에로의 
넘기기 라고 하자(곡 1:1넘기기일 필요는 없다). 


8 -bit 평 문 



8 -bit 암호문 


그림 3-3. S — DES 방식의 암호화세부 
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그러면 


f k (L,R)=(L®F(R,SK),R) 


여 기서 SK 는 부분열쇠，©는 비트별 배 타적 론리합이다. 

그림 3 — 3에 서 IP 단계 의 출력 이 (10111101) 이 고 F (1101， SK ) = (1110)( 어 떤 열 쇠 SK ) 
에 대하여)이면 八 (10111101) = (01011101) 이다. 여기서 (1011)©(1110) = (0101) 

넘기기 묘를 보자. 이 넘기기의 입력은 4 bit 수(다 n 2 n 3 n 4 ) 이고 첫 연산은 확대/치 
환연산이 다. 


eTp 

4 1 2 3 2 ~ 3 " 


이것을 더 명백히 표현하면 다음과 갈다. 

， 'fe-' n2 \ 

n 2 ■ «4 | «1 

8 bit - 부분열쇠 Ki = U u ， k m k 13 , k u , k 15 , k w , k 17 , 오 18 )은 이 값에 다음과 같이 배 
타적론리합된 다. 

n A + k n k + k 12 n 2 + k 13 1 n 3 + k u 
n 2 + hs |« 3 + ^ i 6 « 4 + k 17 1 + k ls 

이 8 bit 들에 다시 이름을 달면 다음과 같다. 

戶0,0 | P 0,1 戶0,2ᅵ 7)0,3 

다，0, :1戶1，1 Pl,2 | Pl，3 

첫 4개 비 트(우의 행 렬의 첫행 )는 S — 통의 S 0 에 들어 가 2 — bit 출력 을, 나머 지 
4 bit (우의 행 렬 에서 두번째 렬)는 &에 들어 가 역시 2_ bit 출력 을 생성한다. 이 두 통 
들은 다음과 같이 정의된다. 

0123 0123 


0 

'1 0 3 2' 

0 

0 12 3" 

5 0 = 1 

3 2 10 

5 1 = 1 

2 0 13 

2 

0 2 13 

2 

3 0 10 

3 

3 13 2 

3 

2 10 3 


S — 통들은 다음과 같이 작용한다. 첫번째와 네번째 입력비트들은 S — 통의 행을 지 
정하는 2 bit 수로서 처리된다. 또 두번째와 세번째 입력비트들은 S _ 통의 렬을 지정하는 
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2 진수로서 처리된다. 그 행과 렬의 입력은 2를 기수로 하는 2 — bit 출력으로 된다. 실례 
로 (Poo Po , 3 ) = (00 )，(Poi P 02 ) = (10) 이면 출력은 SO 의 0행과 2렬로부터 나오는데 그것 
은 3 혹은 2진수로 (11) 이 다. 마찬가지 로 ( Pi , 0 하, 3 ) 과 ( Pi,i 하, 2 )는 S 1 에 서 추가적 인 
2 bit 의 생성 을 위하여 행，렬의 첨수를 지정하는데 리 용된다. 

다음으로 SO 과 S 1 에 의하여 생성된 4 bit 는 계속해서 다음과 같이 치환된다. 



출력 P 4 는 함수 표의 출력 이다. 

절 환함수 

함수。에 의해 입력의 맨 왼쪽 4개의 비트들만 변경된다. 절환함수 ( SW ) 는 “의 두 
번째 부분이 (나머지 절반비트렬) 다른 4개의 비트들에 작용하도록 오른쪽과 왼쪽의 4개 
의 비 트들을 교체한다. 이 八의 두번째 부분에서 E / P , SO , S 1 와 P 4 함수들은 앞에서 와 
갈다. 열쇠입 력은 K 2 이 다. 

단순 DES 의 해석 

단순 DES 에 대한 힘내기공격은 반드시 성공할수 있다 .lObit 열쇠에 대해서는 
2 1G =1024 개의 가능한 경우가 있다. 암호문이 주어 지면 공격 자는 매 가능한 경우를 시도 
해 보면서 그것 이 옳은 평문인가를 결정하기 위해 그 결과를 해석한다. 

암호분석이란 무엇인가? 가령 어떤 단순한 평문과 그에 대응하는 암호문을 알지만 
암호열쇠 는 모르는 기 지 평 문공격 (Known plaintext attack ) 을 고찰하자(여 기 서 평 문은 
(pi, P2 , P3 , Pi , P5 , P6 , Pl , P 8) 로，암호문은 ( ci , C 2 , C 3 , C 4 , C 5 , C 6 , C 7 , C 8 ) 로, 암호열 
쇠 는 (M, k 2 , k 3 , k A , k 5 , k 公， k 7 , k 8 , kg, 切 o ) 라고 기 호약속한다) . 그러 면 매 이는 片와 kj 
의 어떤 다항식 & 로 결정된다. 따라서 암호알고리듬을 10개의 미지수를 가진 8개의 비 
선형방정식으로 표현할수 있다. 이 방정식에는 많은 가능한 풀이가 있게 되는데 그 매개 
를 계산하여 분석한다. 알고리듬에서 매 치환과 더 하기들은 선형넘기기 이다. 비선형성은 
S — 통에서 볼수 있 다. 이 통들에 대한 방정식을 써 보자. 리해를 돕기 위 해 ( po.o Po,i 
Po,2 Po ,3) = («, b, c , d ) 와 ( jpi , L Pi,2 Pi ,3 Pi , 4 ) = ( w , x , y , 넜로 표시 하고 4 一 bit 출력은 (q, 
r, s , f ) 로 이름을 고쳐 달자. 그러면 SO 의 연산은 다음 방정식으로 정의된다. 

q - abed +ab + ac + b + d 
r - abed + abd + a " + ac + a«i + a + c + l 


여기서 모든 더하기는 mod 2이다. 이와 류사한 방정식들로 S 1 이 정의된다. 결국 
선형넘기기들은 비선형넘기기들로 바꾸어 져 암호문비트들에 대한 복잡한 다항식들이 얻 
어 지는데 그로 하여 암호분석이 어렵게 된다. 문제의 규모를 리해하기 위해 2진산수에 
서 10개 미지수를 가진 다항식으로 된 방정식은 2 1G 개의 가능한 경우를 가질수 있다는데 
주목하면 평균적으로 매 8개의 방정식들에 대하여 2 9 개의 경우들을 생각하면 될것 이 다 
(2 1() 중에서 절반은 성공). 

흥미 있는 독자들은 기호처 리프로그람으로 이 방정식을 찾을수 있다. 
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DES 와의 관계 

DES 는 64 bit 입력블로크에서 실행된다. 암호화도식은 다음과 같이 정의된다. 


ip 一 1 • f Ki6 • sw • f Ki5 SW • SW … f Ki • IP 


16 개 의 48 -bit 부분암호열 쇠 를 계 산하는데 56 bit 열 쇠 가 쓰인 다. 56 bit 의 초기치 환을 
실시하고 그다음 48 bit 의 밀기와 치환이 반복적으로 적용된다. 

암호화알고리듬에서 표는 4개의 비트 ( m , n 2 , «3, «4)에 대 하여 조작하는것 이 아니 라 
32개의 비 트 ( m , …， n 32 ) 에 대 하여 조작한다. 초기확장/치 환후에 48개의 비 트출력 은 다 
음과 같이 도식화될수 있다. 


«32 «1 «2 «3 «4 
n 4 n 5 n 6 n 7 n 8 


«5 


«9 


n 28 |«29 «30 «31 n 32 \ n x 


이 행렬이 48 bit 부분열쇠에 배타적론리합된다. 여기서 8개의 행들은 8개의 S - 통에 
대응된다. 매 S —통은 4개의 행과 16개의 렬을 가진다. 웃행렬식에서 행의 처음과 마지 
막 비 트들은 S — 통의 어 떤 행 을，중간의 4개 의 비 트들은 렬을 선택한다. 


3.2 를로크암호원리 

사실상 현재 쓰이 고 있는 모든 대 칭블로크암호알고리 듬들은 페 이스텔 ( Feistel ) 블로 
크암호라고 부르는 구조에 기초하고 있다. 때문에 페이스텔암호의 설계원리를 연구해 보 
는것이 중요하다.그러므로 먼저 흐름암호와 블로크암호를 비교하고 다음에 페이스텔블로 
크암호구조에 대한 착상계기와 그 응용의 몇가지를 론의한다. 

흐름암호와 블로크암호 

흐름암호에서 수자자료흐름은 한번에 한 비트 혹은 한 바이트씩 암호화된다. 실례로 
자동열쇠화된 비게네르 ( Vigenere ) 암호와 버 남 ( Vernam ) 암호들은 고전흐름암호들이 다. 블 
로크 암호는 평문의 어떤 한개의 블로크가 하나의 단위로 처리되여 같은 길이의 암호문을 
만들어 내는 암호이다. 일반적으로 64 bit 의 블로크가 사용된다. 이 장의 뒤에서 설명되는 
여러가지 연산방식을 리용하면 블로크암호는 임의의 흐름암호와 같은 효과를 나타낼수 있다. 

블로크암호는 분석에 더 많은 품이 든다. 일반적으로 블로크암호는 흐름암호보다 응 
용범위가 넓다고 볼수 있다. 망에 기초한 전통암호로서 대체로 블로크암호를 리용한다. 

따라서 이 책 에서는 대 칭암호에 대 하여 블로크암호를 기 본으로 론의 한다. 
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후자의 경우에 이의 암호문은 두개의 평 문블로크중 어느 하나에 의 하여 생성될수 있 
다. 그러므로 가역넘기 기로만 넘기기를 제 한한다면 서 로 다른 변환의 개수는 2"! 으로 될 
것이다. 

그림 3—4에 «=4일 때 의 일 반적 대 입암호에 대 한 론리 를 보여 주었 다. 4- bit 입 력 은 16 
개 의 가능한 입 력 상태 들중의 하나로 되 는데 그것 은 대 입암호에 대 하여 16개 의 가능한 출력 
상태중의 어느 하나로 유일하게 변환된다. 이때 입력비트들은 4개의 암호문비트에 의하여 


4 -bit 입 력 



4 -bit 출 력 


페이스텔암호구조의 착상 계기 

블로크암호는 « bit 의 평 문블로크에 연산을 가하여 nbit 의 암호문을 생 성한다. 2" 개 
의 가능한 평 문블로크를 생 각할수 있는데 암호를 거 물변환하자면(즉 복호하자면) 하나의 
평문블로크로부터 꼭 하나의 암호문블로크가 생성되여야 한다. 즉 그 대응은 일대일이며 
가역 적 이 다. 이 러 한 변환을 가역 적 혹은 비 특이 적 ( nonsingular ) 변환이 라고 부론다. 다 
음의 실례는 «=2에 대하여 비특이변환과 특이 ( singular ) 변환을 보여 준다. 

가역 넘기기 비가역 넘기기 

평 문 암호문 평 문 암호문 


11100101 

00011011 

11100001 

00011011 


그림 3-4. 일 반적 인 n _ bit — nbit 블로크대 입 ( n =4) 
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표시 된 다. 암호화와 복호화는 표 3 — 1에 보여 준것 과 같은 도표작성 에 의하여 정 의할수 
있다. 이것은 블로크암호의 가장 일반적 인 형 태 이고 평문과 암호문사이의 임의의 가역넘 
기기를 정의하는데 리용될수 있다. 


표 3-1. 그림 3—4의 대 입암호에 대 한 암호화 및 복호화표 


평 문 암호문 

0000 

1110 

0001 

0100 

0010 

1101 

0011 

0001 

0100 

0010 

0101 

1111 

0110 

1011 

0111 

1000 

1000 

0011 

1001 

1010 

1010 

0110 

1011 

1100 

1100 

0101 

1101 

1001 

1110 

0000 

1111 

0111 


암호문 평 문 

0000 

1110 

0001 

0011 

0010 

0100 

0011 

1000 

0100 

0001 

0101 

1100 

0110 

1010 

0111 

1111 

1000 

0111 

1001 

1101 

1010 

1001 

1011 

0110 

1100 

1011 

1101 

0010 

1110 

0000 

1111 

0101 


그러나 여기에는 실천적으로 문제가 있다. 만일 블로크의 크기를 w =4 와 같은 정도로 
작은것을 리용하면 체계는 고전대 입암호와 같아 진다. 그러한 체 계들은 앞에서도 보았지 
만 평 문의 통계 적 해 석 에 약하다. 이 약점 은 대 입 암호의 리 용에 서 생 기 는 고유한것 일뿐아 
니 라 크기 가 작은 블로크를 리용하는것 으로부터 도 생 기 는것 이 다. 만일 지이 크고 평문과 
암호문사이 에 임의의 가역적대입 이 리용된다면 원천평문의 통계적특성은 이 러한 암호분 
석 이 불가능할 정도로 은폐된다. 

그러 나 큰 블로크크기의 임의의 가역대 입암호는 실행과 성능상 측면에서 볼 때 실천 
적이 못된다. 그러한 변환에서 넘기기되는것은 열쇠이다. 표 3_1을 다시 보자. 이 표는 
n =4 에 대 하여 평문을 암호문에로 넘기는 하나의 특정의 가역넘 기 기를 보여 준다. 이 넘 
기기는 표의 두번째 렬의 내용 ( entry ) 에 의하여 정의되는데 그것은 매 평문블로크에 대 
한 대응하는 암호문블로크를 주고 있다. 이것은 본질에 있어서 모든 가능한 넘기기중에 
서 지 정 된 넘 기 기 를 결 정 하는 열 쇠 이 다. 이 경 우에 열쇠 는 64 bit 를 요구한다. 일 반적 으 
로 nbit 의 대입암호문블로크에 대하여 열쇠의 크기는 n x 2" 이다. 통계적공격을 막는데 
필요되는 길이인 64- bit 블로크에 대하여 열쇠의 크기는 64 X 2 64 =2 7C> 었 10 21 bit 이다. 

이러한 문제점들을 고찰하면서 페이스텔은 큰 «에 대하여 쉽게 실현할수 있는 구성 
요소로 만들어 지 는 리 상적 인 블로크암호체 계 에 근사시 키 는것 이 중요하다고 지 적 하였 다 
[ FEIS 75]. 페 이 스텔의 방법 을 취 급하기 전에 다른 하나의 사실 에 주목하자. 론의 를 일 반 
적 인 블로크대 입암호로 국한시키고 쉽게 실현하기 위하여 2"! 개의 가능한 가역넘 기기 
들중의 어떤 부분모임으로 고정한다. 실례 로 선형방정식들의 어떤 모임으로 넘기기를 정 
의한다고 하자. N =4 인 경우에 
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Yi = k n x i +k 12 x 2 +k 13 x 3 +k 14 x 4 
y 2 : 도 : k 21 xi +k 22 x 2 +k 23 x 3 +k 24 x 4 
y 3 =k3iX! +k 32 x 2 +k 33 x 3 +k 34 x 4 
y 4 =k 41 x 1 +k 42 x 2 +k 43 x 3 +k 44 x 4 

여 기서 지 는 평 문블로크의 4개의 2진수자，기는 암호문블로크의 4개의 2진수자， 
는 2진결수，연산은 mod 2이 다. 열쇠의 크기는 « 2 즉 여기서는 16이 다. 이 러한 방 
법 에서 부족점은 알고리듬의 구조를 아는 공격 자가 암호를 분석할수 있다는것 이 다. 이 
실례에서 언급한것은 본질상 2장에서 론의한 Hill 암호인데 기호대신 2진수를 사용했을 
따름이다. 2장에서 언급한것처럼 이와 갈은 단순선형체계는 공격에 매우 약하다. 

페이스텔암호 

페 이 스텔 은 적 암호 (product cipher ) 의 개 념 을 리 용하여 단순대 입 암호를 근사시 킬수 
있다고 제 안하였는데 그 방법은 마지막결과 혹은 생성물이 어떤 다른 암호성분보다 암 
호학적 으로 훨씬 강하도록 둘 또는 그 이 상의 기 초암호들을 차례 차례 실 행하는것 이 다. 
특히 페이스텔은 치환과 대입을 반복하는 암호의 리용을 제안하였다. 사실 이것은 혼란 
과 확산함수를 반복하는 적 암호를 개 발하기 위 한 샤논 ( Shannon ) 의 제 안의 실천적 응용 
이다. 득 지적해야 할것은 페이스텔의 암호는 그것이 나온 때로부터 25년전 (1945 년) 샤 
논의 제 안에 기초한것으로서 현재 가장 널리 쓰이는 대칭블로크암호라는것 이다. 

확산과 혼란 

확산과 혼란이라는 말은 암호체계의 두개의 기초블로크로서 샤논이 도입한것이다. 
샤논의 주되는 관심은 통계적해석 에 기초한 암호분석을 막는것이 였다. 그 추론은 다음과 
같다. 가령 공격자가 평문의 통계적특성들에 대한 지식을 가지고 있다고 하자. 실례로 
어떤 언어로 인간이 읽을수 있는 통보문에서 여러 문자들의 빈도분포를 알수 있다. 또는 
단어들이나 그들의 빈도분포도 알수 있다. 만일 그 통계적성질 이 어떤 방법 으로 암호문 
에 반영된다면 암호분석자는 암호열쇠를 추론해 낼수 있거나 열쇠의 어떤 부분 또는 정 
확한 열쇠를 포함하는 적어도 어떤 모임을 추측해 낼수 있다. 샤논은 리상적으로 강한 
암호란 암호문의 모든 통계적성질들이 리용되는 특정의 열쇠와 독립일것이라고 지적하였 
다. 먼저 론의 한 대 입암호의 경 우인데 그러 한것은 비 실천적 이라는것을 이 미 보았다. 

리상적인 체계에 의거하는것과는 달리 샤논은 통계적해석을 불가능하게 하는 두가지 
방법인 혼란과 확산을 제안하였다. 확산에서 평문의 통계적구조는 암호문의 넓은 범위의 
통계에로 분산된다. 이것은 매 평문의 수자가 많은 암호문수자값에 영향을 주게 하므로 
서 이 룩되 는데 그것 은 매 암호문수자가 많은 평문수자들의 영 향을 받는다는것 과 같다. 
확산의 실례는 어떤 통보문 M= mi , m 2 , m 3 , …을 어떤 평균화조작으로 다음과 같이 암호 
화하는것 이 다. 


y n = 


^m n+i (mod 26 ) 
/=1 


즉 하나의 암호문문자 y„ 을 얻 기 위하여 련속되 는 A : 개 문자들을 더한다. 평문의 통 
계적구조가 확산된 다는것 은 분명하다. 따라서 암호문에 서 문자의 빈도수들은 평문에 서보 
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다 더 근사해 지 며 2음절 어빈도수들 역 시 평 문에서 보다 더 근사해 질것 이다. 2진블로크 
암호에서 확산은 자료에 어떤 치환을 반복적으로 적용하여 실현되는데 이때 매 치환에는 
어떤 함수의 적용이 따르는데 그에 의해 초기평문에서 각이한 자리의 비트들이 암호문의 
한 비 트를 결 정하는데 참여하게 한다. 

모든 블로크암호는 평문의 한 블로크를 암호문의 한 블로크로 변환하는것 을 포함하 
는데 그 변환은 열쇠에 의존한다. 확산기구는 평문과 암호문의 통계적관계를 열쇠에 대 
한 추론을 어렵게끔 될수록 복잡하게 만든다고 볼수 있다. 한편 혼란은 암호문의 통계값 
들과 암호열쇠값사이의 관계가 그 열쇠를 발견해 내려는 시도가 좌절되도록 될수록 복잡 
하게 만든다. 즉 공격자가 암호문에서 어떤 통계값들을 얻어도 어떤 열쇠가 그 암호문을 
만드는데 쓰이였는가를 추론해 내기 어렵게끔 복잡하게 하는것이다. 이것은 복잡한 대입 
알고리듬을 리용하여 이룩된다. 반면에 단순한 선형대입함수는 혼란에 거의 영향을 주지 
못한다. 

문헌 [ ROBS 95] 에서 지 적 한것 처 럼 현대 블로크암호에 서 성 공의 여 부는 확산과 혼란을 
어떻게 조성하는가 하는것이다. 


폐 이 스텔 암호구조 

그림 3—5에는 페 이스텔이 제 안한 구조를 보여 주었다. 암호화알고리듬에 대 한 입력 
은 길이 2 w bit 의 평문블로크와 열쇠 K 이 다. 평문블로크는 2개의 부분 L 0 과 R 0 으로 갈 
라 진다. 이 두 절 반짜리 자료들은 n 개 의 처 리단계 를 거 친 다음 결 합되 여 암호문블로크 
를 생 성한다. 매 단계 ;는 입 력 L , 니 와 직ᅴ를 가지 며 (이 것 들은 앞단계 에 서 엄 어 진다. ) 
마찬가지 로 열쇠 K 에서 얻 어 지는 부분열쇠 K ,. 를 가진다. 일반적으로 부분열쇠。는 
K 와 다르며 K , 들도 서로 다르다. 

모든 단계들은 갈은 구조를 가진다. 대입은 자료의 왼쪽절반에 대하여 수행된다. 이 
것 은 자료의 오른쪽절 반에 단계함수 묘를 적 용하여 진행하며 다음에 그 함수의 출력 과 
자료의 왼쪽절 반의 배 타적론리합을 취 한다. 단계함수는 매 단계 에 서 갈은 일 반적 구조를 
가지 며 단계 의 부분열 쇠 K ,_ 에 의하여 파라메터화된 다. 이 대 입 다음에 는 그 자료의 두 
절반들의 교체로 이루어 지는 치환이 실행된다. 이 구조는 샤논이 제 안한 대 입치환망 
( SPN ) 의 특수한 형태이다. 

페 이스텔망의 정 확한 실현은 다음의 파라메터 와 설계 특성들의 선택 에 의존한다. 

• 블로크의 크기 : 블로크가 크면 클수록 안전성은 더 높아 진다. 그러나 암호/복 
호속도는 떠진다. 64 bit 의 블로크크기가 적당하며 거의 모든 블로크암호설계에 
서 리 용 한다. 

• 열쇠의 크기 : 열쇠의 크기가 콜수록 안전성은 높아 진다. 그러나 암호/복호속 
도를 줄인다. 64 bit 크기의 열쇠는 현재는 적합치 않으며 128 bit 가 공통적인것 
으로 되였다. 

• 단계의 수: 페이스텔암호의 본질은 한 단계는 보안에 불합리하지만 여러 단계 
는 안전성을 높인다는것 이 다. 일반적으로 16단계가 리용된다. 

• 부분열쇠생성알고리 듬: 이 알고리듬이 복잡할수록 암호분석을 더 어 렵게 한다. 

• 단계함수: 큰 복잡성은 일 반적 으로 암호분석 에 더 잘 견디게 한다. 

페 이 스텔 암호의 설계 에 서 고려해 야 할 다른 2가지 문제 가 있 다. 그 문제 들은 이 장 
의 뒤 부분과 다음 장들에 서 론의하게 된 다. 
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그림 3 — 1과 그림 3 — 3을 다시 보면 SDES 는 2단계의 페 이스텔구조로 볼수 있다. 
순 페 이스텔구조와의 한가지 차이는 그 알고리듬의 시작과 끝이 치환기능을 가진다는것 
이다. 이 차이는 옹근 DES (완전한 DES ) 에서도 나타난다. 

페 이 스텔복호알고리 듬 

페 이 스텔암호에 서 복호과정 은 본질 상 암호화과정 과 같다. 그 규칙 은 다음과 같다 : 
알고리 듬의 입 력 으로서 암호문을，그러 나 부분열 쇠 사 는 거 물순서 로 리 용한다. 즉 k n 은 
첫 단계 ，니은 두번째 단계 등과 같은 방법으로 차 가 마지막단계에서 리용된다. 이때 
암호화와 복호화에서 갈은 알고리듬을 리용하므로 좋은 알고리듬이 다. 

같은 알고리듬에 열쇠를 반대순서로 주면 정확한 결과를 주는가를 보기 위하여 그림 
3-6 을 고찰하자. 여기서는 암호화과정을 왼쪽에，복호화과정은 오른쪽에 주었다 (16 단알 
고리듬결과는 단수에 관계 없다). 명백히 하기 위해 LE , •와 RE , •는 암호알고리듬에서 흐 
르는 자료를， RE ； 와 LD , ■ 는 복호알고리 듬에 서 흐르는 자료를 표기한다. 그림 은 매 단 
계에서 복호화과정의 중간값은 교환되는 값의 두 절반값을 가지는 암호화과정의 대응하 
는 값과 같다는것 을 보여 준다. 다른 방법 으로 설 명 하기 위해 번째 암호단계 의 출력 을 
LE ,. MRE ,_ ( L , •는 기와 련결된다.)로 표시한다. 그러면 대응하는 (16-0 번째 복호화단 
계의 입력은 RD ； | | LD ,. 로 된다. 

그림 3— 6 에 의 해 우의 주장의 정 당성 을 증명하자. 암호화처 리 의 마지 막 반복다음에 
출력 의 두 절 반은 교환되 며 그래 서 암호문은 RE 16 || LE 16 이 된 다. 그 단계 의 출력 이 
암호문으로 된다. 이제 그 암호문을 같은 알고리듬의 입력으로 취한다. 첫 단계에 대 
한 입 력은 RE 16 1| LE 16 인데 그것은 암호화과정의 16번째 단계 에서 출력의 32 bit 교환 
과 갈다. 

이제 복호화의 첫 단계의 출력이 암호화과정의 16번째 단계의 입력의 32 bit 교환과 
같다는것을 보자. 먼저 암호화에서는 

LE 16 = RE 15 

RE 16 = LE 15 © F ( RE 15 , K 16 ) 

복호화에서는 

LDi = RDo = LE = RE 15 
RDi = LD 0 ® F ( RD 0 , K 16 ) 

= REi6 ④ F (RE 15 , K jg ) 

= [LE 15 ©F (RE 15 , K 16 ) ] © F(RE 15 , K 16 ) 

XOR 의 성질은 다음과 같다. 

[ A © B ] © C = A © [ B ®_ 
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LE,=REi-i 

RE^LErteFCRE^.K,) 


다시 정돈하면 

RE^^LE, 

LE ，나 = RE ,• © F ( RE ，나， K ,') =RE ； © F(LE ,• ， K ,•) 

따라서 « •번째 반복에 대 한 입 력을 그의 출력들의 함수로서 표시하였는데 이 등식들 
은 그림 3-6 의 오른쪽에 보여 준 지정을 확증한다. 

끝으로 복호화과정의 마지막단계의 출력 이 RE 0 1 | LE 0 이라는것을 밝힌다. 32 bit 교환 
은 초기 평문을 회 복하며 따라서 페 이 스텔 복호화과정 의 정 확성 을 보여 준다. 

이 론의 에 서 묘가 가역함수일 것 을 요구하지 않는다. 그것 을 보기 위하여 두 인수의 
값에 관계 없 이 표가 상수출력 을 내 는 제 한된 경 우를 고찰하자. 이때 도 등식 은 성 립한다. 


3.3 자료암호화표준 

가장 광범히 리 용되 는 DES 암호도식 은 1977년 NBS (지 금의 NIST ： 국가규격기 술연 
구소) 에 의하여 채 택된 DES 이 다. DES 에서 자료는 56 bit 의 열쇠 를 리용하는 64 bit 블로 
크로 암호화된다. 알고리듬은 련속적으로 64 bit 입력을 64 bit 출력으로 변환한다. 

광범히 리용되 고 있는 DES 에 대 하여 그것 이 얼 마나 안전한가 하는 문제 와 관련 하 
여 많이 론의되고 있다. 론쟁의 성격을 파악하기 위해 DES 의 력사를 간단히 고찰하자. 

1960년대 말 IBM 은 페 이 스텔 에 게 를퓨터암호에 대 한 연구과제 를 맡겼다. 그 연구과 
정에 이른바 LUCIFCR 라는 알고리듬이 개발되였다. 그것은 역시 IBM 이 개설한 런던의 
Lloyd 회 사의 현금처 리 체 계 에 리용되 게 되 였 다. LUCIFER 는 128- bit 열쇠 를 리용하여 
64 bit 블로크로 조작하는 페이스텔블로크암호이다. LUCIFER 연구에서 얻어 진 결과에 기 
초하여 IBM 은 리상적으로 한 소편으로 실현할수 있는 상업용암호제품개발에 노력을 집 
중하였 다. 그 연구를 왈터 투만 (Walter Tuchman ) 과 칼 메 이 어 (Carl Meyer ) 가 이 끌었 
으며 IBM 의 연구사들뿐아니라 외부의 전문가들과 NSA 의 기술자들도 참가하였다. 결과 
암호분석 에 견덜수 있게 LUCIFER 의 판본은 더 세 련되 였다. 다만 열쇠비 트의 크기는 
한 소편에 실 장시 키 기 위해 56 bit 로 축소되 였 다. 

1973년 NBS 는 국가적인 암호규격에 대한 요구를 내놓았다. IBM 은 투만 一 메이어의 
연구결과를 제출하였다. 이것은 가장 훌륭한 알고리듬에 기초한것으로서 1977년 자료암 
호규격으로 제정되였다. 

규격 으로 제정되기전까지 제 안된 DES 는 맹 렬한 비 난을 받았으며 그것은 오늘까지 
도 가라앉지 않고 있다. 두 측면이 비평을 야기시켰다. 첫째로，초기의 LUCIFER 의 열 
쇠길이는 128 bit 였는데 제안된 체계는 다만 56 bit 로서 72 bit 라는 너무 많은 축소를 하였 
다는것이다. 비평가들에게는 열쇠의 길이가 너무 짧아 공격에 견딜수 있겠는가가 우려되 
였다. 둘째로， DES 의 내부구조에 대한 설계기준이다. 즉 S _ 통문제이다. DES 의 내부 
구조에 열쇠 가 없 이 통보문을 분석할수 있는 어 떤 숨겨 진 약점 은 없는가고 사용자들이 
마음 놓을수 없었던것이다. 그후에 일어 난 사실들 특히 차분해석에 대한 최근의 연구는 
DES 가 매우 강한 내부구조를 가진다는것을 보여 주고 있다. 더우기 IBM 관련자들의 말 
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에 의하면 제 안에서 변화가 있었다면 NSA 가 제기한 S —통들에서의 변화뿐인데 그 과정 
에 평 가에서 제 기 되 였던 약점 들을 제 거하였다. 

DES 는 특히 재정부분에서 많이 리용되였다. 1994년에 NIST 는 앞으로도 DES 의 리 
용을 재 천명하였 다. NIST 는 DES 가 비 밀정 보의 보호보다 응용프로그람들에서 더 광범 
히 쓸것을 권고하였다. 

DES 의 암호화 

DES 암호화에 대한 총적도식이 그림 3_7에 제시되였다. 임의의 암호방식과 마찬가 
지로 암호화하기 위하여 두개의 입력이 있게 된다. 즉 암호화하려는 평문과 열쇠이다. 
여기서 암호문은 64 bit 길이로 블로크화되며 열쇠는 56 bit 이다. 

그림의 왼쪽을 보면 평문의 처리는 세 단계로 진행됨을 알수 있다. 첫째로， 64 bit 평 
문은 허용되는 입 력을 생성 하기 위 하여 초기치환된다 ( IP ). 

치환과 대입기능을 포함하는 동일한 16개의 단들로 이루어 지는 단계에 의하여 암호 
화가 진행된다. 마지막 (16 번째)단의 출력(암호기의 출력)은 입력평문과 열쇠의 함수인 
64 bit 들로 이루어 진다. 출력의 왼쪽과 오른쪽 절반은 교환되여 예비출력을 생성한다. 끝 
으로 예비출력은 초기치환함수의 거물인 치환 ( IF 1 ) 을 통과하여 64 bit 암호문으로 생성된다. 


64 -bit 평 문 56 -bit 열 쇠 



64 -bit 암호문 

그림 3-7. DES 암호화알고리듬의 일반적표시 
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는 2 진수자이 다. 

치환 X=IP(M) 은 다음과 갈다. 
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만일 거물치환 Y=IP _ 1 (x)=IP _ 1 (IP(M)) 를 취하면 비트들의 초기배렬과 맞아 떨어 지 
는것을 알수 있다. 

한개 단의 세부 

그림 3_8 에 한개 단의 내부구조를 보여 주었다. 그림의 왼쪽 절반을 보면 매 64bit 
중간값의 왼쪽과 오른쪽 절반은 32bit 덩어리 (L (왼쪽)， R (오른쪽))토서 각각 처리된다. 
임의의 고전페이스텔 2 진암호에서와 마찬가지로 매 단에서의 총적처리는 다음의 도식으로 
요약할수 있다. 


R 유 =L ，■- 1 ®F (R i_i ， K ,■) 

단열쇠 K, •는 48bit 이 다. 입 력 묘는 32bit 이 다. 이 입 력 R 는 R bit 중에서 16bit 의 복 
제를 포함하는 확장과 치환을 정의 하는 표를 리용하여 48bit 로 확장된다. 

이때 의 48bit 를 K, ■ 와 배 타적 론리 합한다. 이 48bit 의 결과는 표 3-2 의 청에서 정의 
된것처 럼 치환되 여 32bit 의 출력을 주는 대 입 함수를 통과한다. 

함수 표에서 S- 통들의 역할은 그림 3_9 에 보여 주었다. 대입은 8 개의 S- 통들의 모임 
으로 이루어 지는데 그 매개는 6bit 의 입력을 받아 4bit 의 출력을 낸다. 이 변환을 표 3-3 에 
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그림 3—8. DES 알고리듬의 단 
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그림 3-9. F ( R , K ) 의 계산 

주었는데 그것을 다음과 같이 해석할수 있다. 통 미 에 대 한 입력의 처음과 마지막 비트 
들은 비에 대한 표에서 4개의 행에 의하여 정의되는 4개의 대입중에서 하나로 선택되는 
2진수를 이분다. 중간의 4 bit 들은 특정의 렬을 선택 한다. 행 과 렬에 의하여 선택된 세포 
의 10진값은 4 bit 표현으로 변환되여 출력을 만든다. 실례로 &에서 입력이 011001일 때 
행은 이 즉 1행 이고 렬은 1100(12 렬)이 다. 1행 12렬에서 값은 9이 다. 따라서 출력은 
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라면 그것은 다음과 같이 된다. 


•••defghi hijklm lmnopq - - - 

매 그롭의 바깥 두 비 트틀은 4개 의 가능한 대 입 들중의 하나를 선택한다 ( S 통의 한 
행). 다음 4- bit 출력값은 특정의 4- bit 입력으로 대입된다(중간의 4개의 입력비트들). 8 
개의 S - 통들로부터 32- bit 출력이 치환되며 따라서 다음단계에서 매 S - 통으로부터의 출 
력은 될수록 많은 다른것들에 영향을 준다. 

열쇠 생성 

그림 3-7 과 3-8 을 보면 그 알고리듬의 입력에서 쓰이는 56 bit 열쇠는 PC -1 이라는 표 
에 의 하여 치 환된 다는것 을 알수 있 다(표 3-4 의 가 ) . 이 56 bit 는 C 0 과 D 0 이 라는 표식 이 
불은 두개의 28 bit 량들로 갈라서 처리된다. 매단에서 Ch 과 은 표 3-4 의 C 에서 주어 
진대로 왼쪽순환밀기되거나 1 혹은 2 bit 회전된다. 이렇게 밀기된 값들은 다음 단의 입 
력으로 된다. 이 값들은 PC -2 에 대한 입력으로 되는데 그것은 함수 fOl - i . K ,) 에 대 한 
입 력 으로 공급되 는 48 bit 출력 을 생 성한다. 


표 3-4. DES 열쇠계산에 리용되는 표 


가) 치환된 선택 l ( PC - l ) 


치환된 선택 2 ( PC —2) 


57 

49 

41 

33 

25 

17 

9 

1 

58 

50 

42 

34 

26 

18 

10 

2 

59 

51 

43 

35 

27 

19 

11 

3 

60 

52 

44 

36 

63 

55 

47 

39 

31 

23 

15 

7 

62 

54 

46 

38 

30 

22 

14 

6 

61 

53 

45 

37 

29 

21 

13 

5 

28 

20 

12 

4 


단의 수 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 
비트회전 112222221 22 2 2 2 2 1 


284 2405632 

31213303929 

51920554936 

12327474450 

24107374842 

116 13 6 
12 13 3 4 

176 00524553 

4 5 6 114 
1 1 2 4 5 0 ^ 
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t ) 왼쪽밀기의 표 








DES 으 I 복호호 F 

페 이스텔암호와 마찬가지로 복호화는 암호화와 갈은 알고리듬을 리용하는데 부분열 
쇠의 적용순서는 반대 이 다. 

사태효과 

임의의 암호화알고리듬에서 얻으러는 성질은 평문이나 열쇠에서의 작은 변화가 암호 
문에서 큰 변화를 일으키는것이다. 특히 평문 혹은 열쇠에서 한 비트의 변화가 암호문의 
많은 비트들에 변화를 주는것이 바람직하다. 만일 변화가 작다면 이것은 탐색해야 할 열 
쇠공간이 나 평문공간의 크기를 줄이는 어떤 방법을 제공할수 있다. 

DES 는 강한 사태효과를 보여 준다. 표 3-5 에 그 결 과 [ KONH 81] 를 보여 주었 다. 
이 표에서 두 평문은 한 비트만 차이 나는데 다음과 갈다. 

00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 
100000 00 00000000 00000000 00000000 00000000 00000000 00000000 00000000 

열쇠는 


00000001 1001011 0100100 1100010 0011100 0011000 0011100 0110010 


표 

3-5. DES 에서 

사래 효과 


(-1) 평문에서 변화 

( L ) 

열쇠에서 변화 

단 

차이나는 비트수 

단 

차이나는 비트수 

0 

1 

0 

0 

1 

6 

1 

2 

2 

21 

2 

14 

3 

35 

3 

28 

4 

39 

4 

32 

5 

34 

5 

30 

6 

32 

6 

32 

7 

31 

7 

35 

8 

29 

8 

34 

9 

42 

9 

40 

10 

44 

10 

38 

11 

32 

11 

31 

12 

30 

12 

33 

13 

30 

13 

28 

14 

26 

14 

26 

15 

29 

15 

34 

16 

34 

16 

35 
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3 개 의 단들을 지난후 두 블로크는 21 개 의 비 트들이 차이난다는것 을 알수 있다. 
DES 의 출력 에 서 두 암호문은 34개 의 비 트위 치 들에 서 차이난다. 

표 3-5 의 i •은 다음의 평문을 입력으로 하였을 때 검사결과를 주고 있다. 

01101000 10000101 0010111 01111010 00010011 01110110 11101011 10100100 
이때 두 열쇠는 한 비트의 위치에서만 다르다. 즉 

1110010 1111011 1101111 0011000 0011101 0000100 0110001 11011100 
0110010 1111011 1101111 0011000 0011101 0000100 0110001 11011100 

암호문에서 대략 절반의 비트들이 차이나며 불과 몇단후에는 사태효과가 현저해 진 
다는것을 보여 준다. 


3.4 DES 의 강도 

규격 으로 제정 된 후에 도 DES 에 의해 제 공되 는 보안수준과 관련한 문제들에 대 하여 
오래동안 론의가 진행되여 왔다. 이 론의는 크게 두가지 즉 열쇠의 크기와 알고리듬의 
특성에 귀착된다. 

56 bit 열쇠의 사용 

56 bit 길이의 열쇠인 경우 2 56 개 즉 약 7.2 X 10 16 개의 열쇠가 있을수 있다. 이것은 아 
마도 힘내기공격으로는 풀수 없을것이다. 평균적으로 열쇠공간의 절반을 탐색하면 된다 
고 보아도 1패당 한번의 DES 암호처 리를 진행하는 기계를 가지고 암호를 격파하는데 천 
년이상 걸릴것이다. 

그러 나 Us 당 한번의 암호처 리를 진행 한다는 가정은 너무 소극적 이 다. 

1977년에 디 피 ( Diffie ) 와 헬만 ( Heilman ) 은 매 j / s 당 하나의 암호를 계산하는 100만 
개의 암호장치를 병 렬기계 로 구성할수 있다는 주장을 내놓았다. 매 암호장치는 1ms 당 
하나의 암호화를 수행한다. 이 렇게 되면 평 균탐색시 간이 약 10 시 간 줄어 든다. 저 자의 
타산에 의하면 투자량은 1977년화폐 로 약 2000만$로 된 다. 

이 문제에 대하여 위너 ( Wiener ) 는 최근에 기지평문공격에 기초한 비교적 정확한 해 
석을 진행하였다. 이때 공격자는 적어도 하나의 평문과 암호문쌍을 가지고 있다고 가정 
하였다. 위너는 그 설계의 세부를 제공하는데 중점을 두었다. 위너에 의하면 

DES 의 열쇠공간을 빨리 탐색하는 방법 에 대 한 확인할수 없는 수많은 주장들이 있다. 

이러한 애매한 주장들을 피하기 위해 열쇠탐색기계의 설계에서 상당한 량의 세부들이 부록들 

에 포함되였다. 결과 DES 의 열쇠를 찾기 위한 시간과 기계의 비용에 대한 정확한 타산을 얻 

게 되 였다. 그러 나 그러한 기계를 정확히 만들기 위한 계획은 세워 지지 않았다. 

위너는 매초당 5000만개의 열쇠탐색속도를 달성 하기 위한 관흐름기술을 리용하는 소 
편의 설계 에 대 하여 통보하였다. 1993년가격 으로 비 용은 10만$이 고 5,760개의 열쇠탐색 
소편을 포함하는 모둘이 설계되였다. 이 설계에 의하여 다음의 결과들이 엄어 진다. 
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열쇠탐색기계단위비용 

기대되는 탐색시간 

10 만 $ 

35 h 

100 만$ 

3.5 h 

1000 만 $ 

21min 


그리 고 1회개 발비 용은 약 50만$라고 평 가하였 다. 1997년 갱 신 안 [ WIEN ] 에 서 같은 
비용에 대하여 6개의 인자에 의하여 시간을 분할하였다(즉 10만$짜리기계의 기대되는 람 
색 시간은 6시 간이 다) . 

비 록 위너의 연구는 의의는 있으나 그것은 가상적 인 설계이며 아직 제 작되지 않았다. 
DES 의 더 심 중한 약점 은 비 밀 열쇠 에 대 한 RAS 연구소의 도전을 통해서 도 알수 있다. 
그 도전은 1000$의 상금이 걸린것 으로서 24개 의 문자로 된 구 “仕 ie Unknown 
message is :” 를 포함하는 세개의 알려 진 본문블로크와 그 뒤의 알려 지지 않은 평문 
통보문으로 이 루어 진 평문에 대 하여 암호문으로 주어 진 DES 열 쇠 를 찾는것이 였 다. 
RAS 는 1997년 1월 29일에 그 도전을 제기하였다. 그 도전에 응하여 로크버써 (Rocke 
verser ) 는 힘 내 기 공격 프로그람을 개 발하고 그것 을 인 터 네 트상에 공개하였 다. 프로젝 트 
는 인터네트상의 수많은 콤퓨터들과 련결되여 나중에는 70,000개이상의 체계를 보유하게 
되 였 다. 매 새 로운 참여 자 ( DES 분석 에 참여하는 자)를 받으면 개 발림 은 새 콤퓨터 가 조 
사해 야 할 DES 열쇠공간의 새 부분을 할당하여 주었다. 체계는 1997년 2월 18일에 작업 
을 개 시하여 모든 가능한 열쇠의 약 1/4을 조사한 다음 96일만에 정 확한 열쇠를 찾았다. 
이 도전은 견고한 암호학적문제를 공격하는데서 분산된 PC 의 위 력을 시위하였다. 

그러나 여기에는 모든 가능한 열쇠를 단순히 한번 실행해 보는것외에도 열쇠탐색공 
격 이 더 있 다. 알려 진 평문이 제 공되 지 않는 한 분석 자는 평문을 평 문으로 인식할수밖 
에 없다. 만일 통보문이 영 어로 된 본문이 라면 결과는 쉽게 뽑아 내며 영 어인식과제는 
자동화된다. 또 본문통보문이 암호화전에 압축된다면 문제는 더 어렵게 된다. 또한 통보 
문이 수값화상과 같은 보다 일반적형태의 자료이고 압축되였다면 그 문제는 자동적으로 
조종하기 가 더 힘 들어 진다. 힘 내 기공격방법 을 보충하기 위 해서 는 예상되는 평 문에 대 한 
어느 정도의 지식이 필요되며 자동적으로 평문을 선별해 내는 수단도 필요된다. 

위너의 설계 와 비밀-열쇠도전은 DES 의 보안에 대 한 수십년간의 론의의 절정 을 이 
투며 어떤의미에서는 전환점으로 되였다. 지금까지도 개인적 및 상업용응용에서는 
DES 를 리 용할수 있 다고 보고 있 다. 그러 나 전통암호를 새 롭게 교체하는 문제 를 조사해 
야 할 시대 가 도래하였다. DES 의 후보자로서 4장에서 론의되는 3중 DES 를 비롯하여 여 
러가지 새 로운 전통암호알고리듬들이 제 기되 고 있다. 

DES 알고리듬의 성질 

또 하나의 론의점은 암호분석에서 DES 알고리듬의 특징을 밝힐수 있다는 가능성이 
다. 론의의 초점은 매 반복에서 리용되는 S - 통 혹은 8개의 대 입표이 다. 이 통들과 전체 
알고리 듬에 대 한 설계 기 준이 공개 되 지 않았으므로 S - 통에 대 한 약점 을 아는 적 에 의한 
암호분석 이 가능하다고 볼수 있 다. 이 가정 을 시 발점 으로 하여 진행 된 수십년동안의 연 
구조사과정에 수많은 규칙성과 예견치 못했던 거동들이 S 통에서 발견되였다. 그럼에도 
불구하고 S - 통에서 가정되 였던 치명적약점은 아직까지 해명되지 못하고 있다. 
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3.5 차분암호분석과 선형암호분석 

DES 는 그의 생명주기의 거의 전기간 열쇠길이가 비교적 짧기때문에 힘내기공격에 
약하다는것 이 기 본문제이 다. 그러 나 DES 에 대 한 암호분석 공격방법 을 찾는것 도 흥미 있 
다. 3중 DES 를 포함하여 긴 열쇠를 가지는 블로크암호의 보급이 증가됨에 따라 힘내기 
공격 은 실 천불가능하게 되 였 다. 그리하여 DES 나 다른 대 칭 블로크암호에 대 한 암호분석 
적공격들에 대한 문제가 더욱 중시되고 있다. 

이 절에서는 두개의 가장 강력하고 기대되는 수법인 차분해석법과 선형해석법에 대 
한 간단한 개괄을 준다. 

차분암호분석법 

최근년간 암호분석 에서 가장 눈에 띄우는 전진의 하나는 차분분석 법 이다. 이 절에서 
는 그 기술과 DES 에 대한 적응성을 취급한다. 

력사 

차분암호분석 법 은 1990년까지 공개문헌에 소개 되 지 않고 있 었 다. 처 음으로 발표된 
성 과는 무피 (Murphy) 에 의 한 FEAL 이 라는 블로크암호분석 이 였 다. 그후 비 함 (Biham) 
과 사미르 (shamir) 의 많은 론문들에서 다양한 암호알고리듬들과 하쉬 함수에 대한 공격 
을 보여 주었는데 그 결과는 [BIHA93] 에 요약되여 있다. 

이 방법에 대한 대부분의 공개결과들은 DES 에 응용되고 있는것들이다. 차분암호분 
석법은 2 55 이 하의 복잡성 으로 DES 를 격 파할수 있는 최초의 공격이 였다. 제 안된 방식 에 
의해 2 47 개 의 선택 평 문을 요구하는 2 47 정 도의 토력 으로 DES 를 성 공적 으로 분석할수 있 다. 
2 47 은 2 55 보다 현저히 작지만 2 47 개의 선택평문을 찾는 문제는 이 공격을 리론적흥미거리 
로만 만들어 버렸다. 

비 록 차분암호분석 법 이 강력한 도구라 할지 라도 DES 를 공격하는데 는 적 합치 않다. 
그것은 DES 를 설계한 IBM 의 어떤 성원에 의하여 이 공격 법 이 벌써 1974년 초에 알려 
졌기 때문이 다. 

차분암호분석 을 리용하는 공격 에 대 처할데 대 한 요구는 치 환 P 와 S- 통설계 에서 큰 
역할을 놀았다. 이러한 변화의 영향을 보기 위해 증거로서 문헌 [BIHA93] 에 있는 비교 
결과를 고찰하자. 8단 LUCIFER 알고리 듬의 차분암호분석 은 다만 256개 의 선택 평문만을 
요구하며 DES 의 8단판에 대한 공격은 2 14 개의 선택평문을 요구한다. 

IDEA 의 설계에 영향을 미친 차분암호분석은 DES 가 나온후 가장 중요한 전통암호 
의 하 나 로 되 였 다 . IDEA 의 설 계 자 들 은 잠 정 암 호 화 표 준 (Proposed Encryption 
Standard： PES) 으로 알려 진 초기설계를 내놓을 당시까지도 차분암호분석을 알지 못하 
였 다. 

PES 에서는 128-bit 열쇠가 사용되였는데 여전히 2 64 정도의 복잡성준위를 가진 차분암 
호분석 에 약하였 다. 설 계 자들은 PES 에 수정하여 내 놓은 IDEA 가 차분암호분석 에 견 딘 
다고 주장하고 있다. 
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차분암호분석 공격 

차분암호분석 공격 은 복잡한데 문헌 [ BIHA 93] 에서 충분히 소개 되 고 있다. 여 기서는 
이 공격에 대한 대체적표상을 줄수 있도록 개괄한다. 

먼저 DES 에 대 한 표기 에서 다음의 약속을 한다. 초기의 평문블로크의 두 반토막을 
m 0 , 1파라고 하자. DES 의 매단에서 오른편 입력은 왼편 출력으로 넘어 가며 오른편 출 
력은 그 단에서의 부분열쇠와 함께 왼편 입력의 함수로 된다. 따라서 매 단에서 다만 1 
개의 32bit 블로크만 창조된다. 만일 매 새 블로크를 m,(2 。 브 m ) 로 표시하면 중간통보문 
의 반부분들은 다음과 같이 련관된다. 

m ,+ i = 111 ,- 1 © f ( m ,-, K ,), i = l , 2，."，16 

차분암호분석 에 서 XOR 차분이 Am=m 任) m ’ 로 주어 진 두 통보문을,그 다음에 는 m 
과 m ’ 로부터 시작하여 중간통보문반토막들의 차분 즉 : Am , = 111 , ■ 任) m , ■’를 고찰한다. 

그러면 

Am /+1 =m i+1 ©m； +1 

= [^ ; _i © f (씨,， K t )] ® [ m ； +1 田 f «， K t )] 

만일 갈은 부분열쇠를 사용한다면 꾼에 대 한 갈은 차분을 가지는 많은 입 력쌍들이 같 
은 출력차분을 준다고 가정한다. 이것 을 더 정 확히 고찰하기 위해 입 력의 배 타적 론리 합 
이 표인 쌍들의 분수 P 에 대 하여 출력 의 배 타적론리 합 ( XOR ) 가 구와 갈으면 표는 Y 를 
확률 P 로 발생 시 킨다고 말한다. 특정 의 출력차분을 발생 시킬 확률이 큰 표의 값들이 몇 
개 있 다고 가정할수 있 다. 따라서 높은 확률을 가지 는 스따니와 A 패를 안다면 높은 확 
률로 스대 +1 를 알수 있 다. 또 그러한 차분들이 여 러 개 결정 된 다면 함수 꾼에 서 리용되 는 
부분열쇠 를 결정 하기 쉽다. 

차분암호분석법의 총적전략은 한 단에 대한 이러한 고찰들에 기초하였다. 절차는 주 
어 진 차분을 가지 는 두 평문통보문 m 과 m ’ 로 시 작하여 암호문에 대 하여 확률차분을 
주는 매 개 단다음의 차분의 확률패 런을 통하여 추적한다. 실제 로 2 개 의 32bit 반토막에 
대한 2개의 확률차분 ( Am 17 || Am 16 ) 이 있다. 다음에 미지의 열쇠에 관한 실제적차분을 결 
정하기 위하여 m 과 m ’ 에 암호화를 실시하고 확률차분과 결과를 비교한다. 만일 대조가 

E k (m)©E k (m ， ) = (Am 17 II Am 16 ) 

와 같다면 모든 중간단들에 서 모든 확률패 런들이 정 확하다고 본다. 그러한 가정 밑 에서 
열쇠비 트에 대 한 어 떤 추론을 할수 있 다. 이 절 차는 모든 열쇠비 트들을 결정할 때 까지 
여 러번 반복해 야 한다. 

그림 3-10 에 DES 의 세개의 단들에서 차분의 전파과정 을 보여 주었다. 오른쪽에 보 
여 준 확률들은 중간차분들의 주어 진 모임 이 입 력차분들의 함수처 럼 나타날 확률이 다. 
총체 적 으로 세개의 단들을 거 친후 출력차분의 확률은 보여 준바와 같이 0.25X1 冷 
0.25=0. 0625 이다. 
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|| Am； = 40 08 00 00 04 00 00 Op] 



그림 3-10. DES 의 3 개의 단들을 통한 차분전파 (16 진수로) 


선형암호분석 

보다 최 근에 개 발된것 이 문헌 [ MATS 93] 에 소개 된 선형암호분석 이 다. 이 공격 은 
DES 에서 진행되는 변환들을 묘사하기 위한 선형근사를 찾는데 기초하고 있다. 이 방법 
에서는 차분암호분석에서의 2 47 개의 선택평문에 비해 2 47 개의 기지평문으로 주어 진 DES 
의 열쇠를 찾을수 있다. 이것은 기지평문을 엄는것이 선택평문을 엄는것보다 더 쉬울수 
있으므로 차분암호분석보다 좀 발전했다고는 할수 있지 만 이것 으로 해서 선형암호분석은 
여전히 DES 에 대한 공격과 마찬가지로 공격 당할 위험 이 있다. 아직까지는 선형암호분 
석 방법 을 유효하게 하기 위한 연구사업 이 그리 심 화되 지 못하고 있 다. 

아래 에 선형암호분석 법의 기 초원리 를 기 본적 으로 요약하였 다. N - bit 평 문과 암호문 
블로크， m - bit 열쇠를 가진 암호화에 다음과 같은 표기를 약속하자. 즉 평문블로크는 
P [ l ], •••, P [ n ] 로, 암호문블로크는 C [ l ], …, C [ n ] 로, 열쇠는 K [ l ], …, 자비로 표 
기하자. 그다음 
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A [ i , 7 ，" •次] = A [ i ] ® A [/| ® … ® A [灰] 


라고 정 의하자. 

선형암호분석 은 확률 p 균 0.5 로 성 립하는 효과적 인 선형방정 식 즉 

라公”公,，… a a ] ① C [ A , 尾，…， 化] = K [八，心，…，'] 

을 찾는데 귀착된다(여기서 ;c 는 0 혹은 1 ； l < a , b < n , l < c < m < a ， p,y 는 고정된 유 
일 한 비 트위 치 를 표시한다) . 

P 가 0.5 보다 콜수록 더 효과적인 방정식으로 된다. 일단 어떤 관계가 결정되면 절 
차는 많은 평문암호문쌍들에 대 하여 우의 방정 식 의 왼쪽의 결 과들을 계 산한다. 만일 결 
과들에 0이 절반이상 있다면 K [ ri , r 2> …， r c ]=0 으로，1이 절반이상이라면 Klr ^ 
r 2 , …, r c ]= l 로 한다. 이것은 열쇠비트들에 대한 선형방정식으로 된다. 이러한 관계 
식들을 더 많이 얻어 열쇠비트들을 구할수 있다. 선형방정식을 취급하고 있기때문에 문 
제는 결합된 결과를 가지고 한번에 암호의 한개의 단을 접근시 킬수 있다. 


3.6 블로크암호의 설계원리 

암호학적으로 강한 블로크암호설계에서 큰 전진이 있었지만 기본원리는 1970년대 초 
에 DES 와 페 이 스텔의 설계 림의 연구결과에 비해 그리 달라 진것 이 없다. 그러 므로 
DES 에 서 리용되 는것 으로 소개 되 고 있는 설계 규칙 의 고찰로부터 시 작한다. 블로크암호 
설계 를 세 개의 측면 즉 단의 수， F 함수의 설계，열쇠 관리 에 대 하여 론의한다. 

DES 설계규칙 

DES 설계에 사용된 규칙은 문헌 [ COPP 94] 에서 볼수 있는것처럼 S - 통의 설계와 그 
의 출력을 취 하는 P 함수에 중심을 두었다(그림 3-9). S - 통의 규격은 다음과 갈다. 

1. 임의의 S - 통의 출력비트는 입력비트들의 선형함수에 너무 근사해서는 안된다. 
특히 임의의 출력비트와 임의의 6 개 입력비트들의 부분모임을 선택하는 경우 출 
력비트가 그 입 력비트들의 XOR 와 같을 입 력들의 비는 0 혹은 1이 아니 라 1/2에 
가까와야 한다. 

2. S - 통의 매 행 은(맨 왼쪽과 맨 오른쪽 비 트값에 의하여 결정되 는) 모두 16개의 가 
능한 출력비 트조합들을 포함하여 야 한다. 

3. 만일 S - 통에 대한 두 입력이 정확히 한 비트에서 차이나면 출력은 적어도 두 비 
트에서 차이 나야 한다. 

4. 만일 S - 통에 대한 두 입력이 가운데 있는 두 비트들에서 차이난다면 출력은 적 
어도 두 비트에서 차이나야 한다. 

5. 만일 S - 통에 대한 두 입력들이 첫 두 비트들에서 차이나고 그의 두 마지막비트 
들이 일치한다면 그 두 출력들은 같지 말아야 한다. 

입 력 들사이 의 임 의의 령 아닌 6 - bit 차분에 대 하여 그 차분을 표시하는 32개 의 입 
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력 쌍중에 서 8개 이 상은 같은 출력차분을 만들지 말아야 한다. 

7. 이 규칙은 3개의 S - 통의 경우를 내놓고는 앞의 규칙과 비슷하다. 

코퍼스미스 ( Coppersmi 仕 1 ) 는 우의 규칙중에서 첫째 항목만이 DES 에서 S - 통들만이 
비 선형 부분이 므로 필 요하다고 지 적 하였 다. 만일 S - 통들이 선형 이라면 (즉 매 출력 비 트는 
입 력비트의 선형결합으로 된다.) 전체 알고리듬이 선형 이 되고 쉽게 격 파되게 된다. 
Hill 암호가 선형이므로 쉽게 격파된다는것을 이미 보았다. 나머지 항목에 대해서는 차분 
암호분석을 막고 충분한 혼란성을 가지게 하는데 선차적목적을 두었다. 

치 환 p 를 위한 기 준은 다음과 같다. 

1. 단 i 에서 매 S - 통의 4개의 출력비트들은 그것들중 두개 가 (i + 1) 단의 가운데비 트 
들에 영 향을 주며 (가운데비트들에 대한 입 력) 다른 두 비트들은 끝비트들에 영향 
을 미치도록 분산된다. S - 통에 대 한 입 력의 두 가운데비 트들은 린접한 S - 통과 
공유되지 않는다. 끝비트들은 왼쪽의 두 비트와 오른쪽의 두 비트들인데 그것은 
린 접한 S - 통과 공유된 다. 

2. 매 S - 통에 서 4개 의 출력비 트들은 다음단계 의 6개 의 서 로 다른 S - 통들에 영 향을 
주며 어느 두 비트도 갈은 S - 통에 영향을 주지 않는다. 

3. 두 S - 통 j , k 에 대 하여 公의 어 느 출력비 트도 다음단에 서 氏의 가운데비 트에 영 향 

을 미치지 않으면 화의 출력비 트는 하의 가운데비 트에 영 향을 미칠수 없다. 이것 

은 j = k 에 대 하여 5,■의 출력 비 트가 次의 가운데 비트에 영 향을 줄수 없다는것을 의 
미 한다. 

이 항목들은 알고리듬의 혼란성을 증대시키는데 기본목적을 두고 있다. 

단의 수 

페 이 스텔암호의 강도는 설계 의 세 측면 즉 단의 수，함수 F , 열쇠 관리알고리 듬에 
의해 결정 되 는데 그중에 서 단의 수에 대 하여 먼저 보자. 

단의 수가 크면 상대적으로 표가 약해도 암호분석이 어렵게 된다. 일반적으로 이 기 
준은 알려 진 암호분석이 단순한 힘내기공격보다 더 큰 품이 요구되게끔 단의 수를 선택 

할 것 을 요 구 한 다 . 이 기 준 은 DES 의 설 계 에 일 정 하 게 리 용 되 였 다 . 스 네 어 

( schneier ) [ SCHN 96] 은 16단 DES 를 고찰하고 차분암호분석공격은 힘내기공격보다 효 
과적 이 못된다는것을 지적 하였다. 차분암호분석공격은 2 55 1 의 복잡성을 요구하지만 전수 
공격은 2 55 의 복잡성을 요구한다. 만일 DES 가 15이 하의 작은 단수를 가진다면 차분암호 
분석은 힘내기공격보다 더 효률적일것이다. 

이 기준은 어떤 알고리듬의 강도를 쉽게 판정 하고 서로 다른 알고리듬들의 비교를 
쉽게 하므로 의의가 보다 크다. 암호분석에서 좋은 결과가 없을 때 우의 기준을 만족하 
는 임의의 알고리듬의 강도는 열쇠길 이만을 가지 고 판정할수 있다. 

함수 F 의 설계 

페 이스텔블로크암호의 《심장》은 함수 표이 다. DES 에서 이 함수는 S - 통의 리용에 
의거한다. 이 것은 4장에서 고찰하게 되는 모든 다른 대 칭암호의 경우에도 마찬가지 이 다. 
그러 나 함수 표를 설계 하기 위한 기 준에 서 몇 가지 일 반적 인 론의 가 필 요하다. 그 다음 
S - 통설계를 특별히 취급한다. 
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함수 표의 설계기준 

함수 표는 페 이스텔암호에서 혼란요소를 제공한다. 따라서 표에 의하여 수행되는 대 
입을 해석하기가 어려워야 한다. 하나의 명백한 기준은 묘가 비선형이여야 한다는것이다. 
표가 보다 비선형일수록 임의의 암호분석은 더 어려워 진다. 비선형성을 재는 여러가지 
측도가 있지 만 간단히 말하면 F 를 어 떤 선형방정 식 들로 근사시 키 기 어 려 울수록 표의 비 
선형성은 크다. 

F 의 설계에서는 여러가지 다른 기준들을 고찰할수 있다. 알고리듬은 사태성질이 좋 
아야 한다. 다시말하여 이것은 입력에서 한 비트의 변화가 출력에서 여러 비트의 변화를 
일으킨다는 것을 의미 한다. 이에 대한 더 엄격 한 정의는 엄격 한 사태 판정 
( SAC )[ WEBS86 ] 인데 그것은 임의의 하나의 입 력비트 i 가 모든 i , j 에 대 해 전도될 때 
어떤 S - 통의 임의의 출력비 트 그가 확률 1/2로 변화된다는것 을 말한다. SAC 가 S - 통들로 
표현되지만 이와 같은 기준을 총괄적으로 표에 적용할수 있다. 이것은 S - 통을 포함하지 
않는 설계를 고찰할 때 중요하다. 

[ WEBS86 ] 에 제 안된 다른 기준으로 비 트독립 기 준 (bit indepedence criterion - BIC ) 
을 들수 있는데 그것은 하나의 입 력비트 i 가 전도될 때 출력비트 j 와 K 가 임의의 모든 
i , j 에 대하여 독립적으로 변환될것을 요구한다. SAC 와 BIC 기준은 혼란함수의 효과성을 
높이는것으로 된다. 

S - 통설 계 

대칭블로크암호분야에서 연구가 가장 심화되고 있는 문제가 S - 통설계이다. 그에 대한 론 
문들이 수없이 발표되고 있다. 여기서는 그중 몇가지 일반적원리들만을 보기로 한다. 요컨대 
S - 통에 대 한 입 력벡토르의 임의의 변화가 출력에서는 어떤 무질서한 변화를 일으키도륵 하려 
고 한다고 하자. 그 관계는 비선형으로 되여야 하며 선형함수로 조사하기 어려워야 한다. 

S - 통의 하나의 명백한 지표는 그 통의 크기이다. nxm S - 통은 n 개의 입력비트들과 
m 개의 출력비트를 가진다. DES 는 6 X 4 S - 통을 가진다. 4장에서 취급하는 Blowfish 와 
CAST 는 8 X 32 S - 통을 가진다. S - 통이 콜수록 차분 및 선형해석 에 더 잘 견딘다 
[ SCHN 96]. 다른 한편 n 이 콜수록 큰 표를 취급하여야 한다. 실천적측면에서 n 의 크기 
는 보통 8乂 L 0 사이로 제한된다. 또한 S - 통이 클수록 실천적에서는 그 통을 정확히 설계 
하기가 더 어 려워 진다. 

S - 통들은 일반적으로 DES 에서 리용된 방법과는 달리 조직화된다. nxm S - 통은 일 
반적 으로 m bit 들이 들어 있는 2" 개의 행 으로 이루어 진다. 입 력의 n 개 비트들은 그 
S - 통의 행중의 하나를 선택하며 그 행에서 m bit 들이 출력으로 된다. 실례로 8 X 32 S - 
통에서 입력 이 000010()1 이면 출력은 9행 (첫행은 0행 이다.)의 8 bit 로 이루어 진다. 

미 스터 ( Mister ) 와 아담스 ( Adams ) 는 S - 통설 계 와 관련 한 여 러 개 의 기 준을 제 안하였 다. 그 
중에는 S - 통이 SAC 와 BIC 를 다 만족시켜 야 한다는것도 들어 있다. 또 그들은 S - 통의 렬들의 
모든 선형결합이 bent 이여야 한다고 보았다. 일정한 수학적기준에 따르면 bent 함수들은 비선 
형성이 강한 론리함수들 ( Boolean ) 의 특수한 부류이다. 이에 대한 간단한 소개를 부록 3 A 에 
주었다. Bent 함수의 리용에 기초한 S - 통의 설계와 해석에 대한 연구가 심화되고 있다. 

S - 통과 관련된 기 준들은 문헌 [ MEYS 95] 에 서 분석 되 고 있다. 담보된 사태 
(Guaranteed Avalanche ： GA ) 기준은 다음과 같다. S - 통은 다음과 같은 경우에 차수 
r 의 GA 를 만족한다. 입력에서 1- bit 의 변환에 대하여 출력에서 적어도 r 개의 출력비 
트들에서 변화를 일으킨다. 연구결과(저자의)는 r 가 2-5 범위일 때 전반적인 암호알고리 
듬에서 강한 혼란성 이 나타난다는것을 보여 주고 있다. 

큰 S - 통(례하면 8 X 32 와 같은)인 경우 그 입력을 선택하는 문제가 여러가지로 론의 
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되고 있다. 니베그 ( Nyberg ) 는 다음의 방법들을 제기하였다. 


• 불규칙적인 방법: S - 통에 대한 입력을 주기 위하여 모조란수발생기 혹은 란수 
자표를 리용한다. 작은 S - 통(례하면 6 X 4 등)에 대해서는 좋지 못한 결과를 줄 
수도 있으나 큰 S - 통(례하면 8 X 32) 에 대해서는 좋은 결과를 준다. 

• 시험을 동반하는 불규칙적인 방법: S - 통의 입력을 우연선택하고 각이한 기준에 
대한 그 결과를 검사하고 통과할수 없는것은 버린다. 

• 사람이 만드는 방법 ( Man - Made ) : 이것은 그것을 지원하는데 단순한 수학적지 
식 만을 리 용하는 다소 수동적 인 DES 설 계 방법 인 데 큰 S - 통에 서 는 어 렵 다. 

• 수학적 으로 만드는 방법 : 이 것 은 수학적 원 리 에 따라 S - 통을 발생 시 키 는 방법 이 다. 
수학적원리를 리용하여 충분한 혼란성을 가지면서 선형 및 차분암호분석에 견디 
도록 구축할수 있다. 이 수법은 4장에서 취급한 CAST 와 함께 리 용되는 방법 이 다. 

첫 방법은 우연성과 열쇠의존성을 다 가지는 S - 통을 리용하는것이다. 이 방법의 실 
례가 4장에서 취급되는 Blowfish 인데 거기서는 모조란수자들로 채운 S - 통으로부터 시작 
하여 열쇠 를 리용하여 내 용을 변경한다. 열쇠 의 존 S - 통의 중요한 우점 은 통의 내 용이 
고정 되 지 않으므로 약점 을 알기 전에 는 S - 통을 해 석할수 없다는것 이 다. 

열소 I 관리알고리듬 

블로크암호설계의 최종령 역이며 S - 통의 설계 보다 부차적 인것으로 되 고 있는것 이 열 
쇠 관리알고리 듬이 다. 페 이 스텔블로크암호에 서 열쇠 는 매 단에서 하나의 부분열쇠 를 발생 
시키 는데 쓰인 다. 일 반적 으로 개 별적 인 부분열쇠 를 추론하기 가 최 대 한으로 어 렵 게 끔 부 
분열쇠 를 선택하며 더 우기 기 본열쇠 에 대 한 추측은 더 욱 어 렵 게 끔 하여 야 한다. 발표된 
일반적원리는 아직 없다. 

할 ( Hall ) 은 최 소한 열쇠관리 는 열쇠 및 암호문의 엄격한 사태기준 ( SAC ) 과 비 트독 
립기준 BIC 를 담보하여 야 한다는것을 지적하였다 [ ADAM 94]. 


3.7 블로크암호의 동작방식 

DES 알고리 듬은 자료보안을 위한 기 초블로크이다. 각이한 응용에 DES 를 적 용하기 
위하여 4개의 동작방식 이 정의되 였다. 이 4개의 동작방식들에 DES 를 리용할수 있는 모 
든 가능한 암호응용들이 포함되도록 하였다. 이 방식들은 아래의 표에 요약되 여 있으며 
이 절의 나머지부분에서 간단히 취급되였다. 이와 갈은 방식들은 임의의 대칭블로크암호 
에서도 적용될수 있다. 

전자부호책방식 

가장 단순한 방식 은 전자부호책 방식 (Electronic Codebook Mode ： ECB ) 인데 평 문 
은 한번에 64 bit 씩 취급되며 그의 매 블로크는 같은 열쇠를 리용하여 암호화된다(그림 
3-11). 암호책이라는 용어를 사용한 리유는 주어 진 열쇠에 대하여 평문의 매 64 bit 블로 
크당 유일 한 암호문이 있기때 문이 다. 그러므로 모든 64 bit 평 문패린에 대 응한 암호문을 
보여 주는 입구를 지적하는 거대한 암호책을 생각할수 있다. 

64 bit 보다 더 긴 통보문인 경우 통보문을 64 bit 블로크로 갈라 놓는다. 이때 마지막 
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블로크는 메꾸기 ( padding ) 를 할수 있다. 복호는 한번에 한 블로크씩 같은 열쇠 에 의하 
여 수행된다. 그림 3-11 에서 평문은(필요에 따라 메꾸기되는) 64 bit 의 블로크 Pi . Pa , 
…， P N 로 구성되며 대 응하는 암호문은 C 1 ( C 2 ，…, C N 이 다. 


표 3-6. 

DES 의 동작방식 


방식 

서술 

일반적인 응용 

전자부호책 ( Electro ¬ 
nic Codebook ： ECB ) 

매 64 bit 평문블로크는 갈은 열쇠를 • 
리용하여 독립적으로 암호화된다. 

단순한 값들의 안전한 전 
송(실례로 암호열쇠) 

암호블로크련쇄 
(Cipher Block 
Chaining ： CBC ) 

암호알고리듬에 대한 입력은 평문의 • 
다음 64 bit 의 평문과 암호문의 선행 
한 64 bit 의 XOR 이 다. • 

범용블로크-지향전송 

인증 

암호문반결합 
(Cipher FeedBack ： 
CFB ) 

입력은 한번에 J 개 비트씩 처리된다. • 
선행한 암호문은 암호알고리 듬의 입 
력으로 들어 가 준우연출력을 생성하 # 
는데 그것은 평문과 XOR 로 되여 다 
음암호문을 만든다. 

일반목적흐름지향전송 

인증 

출력 반결합 
(Output Feedback ： 
OFB ) 

암호알고리듬에 대한 입력이 선행한 • 
DES 출력 이 라는것 을 제 의 하면 CFB 와 
비 숫하다. 

잡음통로우에 서 흐름지향 
전송(례로 위성통신) 

시간 =1 

시 간=2 

시 간 =N 



L ) 복호화 


그림 3-11. 전자부호책 ( ECB ) 방식 
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ECB 방법은 암호열쇠와 같이 자료량이 적을 때 리상적이다. 따라서 DES 열쇠를 비 
밀로 전송하는데서 ECB 가 적 당한 방식으로 된다. 

ECB 의 가장 중요한 특징은 같은 64 bit 의 평 문블로크가 통보문중에 한번이상 나타나 
는 경우 늘 갈은 암호문을 생성한다는것 이 다. 

긴 통보문에 대하여 ECB 방식은 안전하지 못하다. 만일 통보문이 고도로 구조화되 
였다면 암호분석자들이 그 규칙성을 찾아 낼수 있다. 실례로 통보문이 늘 미리 정의된 
어떤 마당으로 시 작된다면 암호분석 자는 많은 기지의 평문-암호문쌍을 가지고 작업할수 
있 다. 만일 그 통보문이 반복적 인 요소를 가지 고 있 다면 그 요소는 해 석 자에 의하여 동 
정될수 있다. 이것은 해석 을 도와 주거 나 블로크를 대 입 혹은 재배렬할수 있는 기회 를 
줄수 있다. 

암호블로크련쇄방식 

ECB 의 보안상부족점을 극복하는데서 같은 평문블로크가 반복되는 경우 다른 암호 
블로크를 생 성하는 기 술을 도입하는것 이 좋다. 이 요구를 만족시 키 기 위한 간단한 방법 
이 암호블로크련쇄방식이다(그림 3-12). 

이 방식에서 암호알고리듬에 대 한 입력은 현재의 평문블로크와 선행한 암호문블로크 
의 XOR 이다. 매 블로크에서 같은 열쇠가 사용된다. 요컨대 평문블로크렬의 처리는 모 
두 련쇄를 이분다. 매 평문블로크에 대한 암호화함수의 입력은 그 평문블로크와 고정된 
관계를 가지지 않는다. 따라서 64 bit 의 반복되는 패턴들은 로출되지 않는다. 

복호를 위하여 매 암호블로크는 복호알고리 듬을 거 친다. 그 결과는 선행한 암호문 
블로크와 XOR 되 여 평 문블로크를 생 성한다. 이 과정 을 보기 위하여 다음과 같이 쓸수 
있 다. 

C„=E*[C„-i®P„] 

그러면 

D ■하 [: MCJ©!、)] 

D [[ C „] = (<、©!)„) 

C„-i ® D 모 [C„] =C„-i ® C„-i ® Pn=P n 

암호문의 첫 블로크를 생 성하기 위하여 초기 화벡 토르 (IV) 가 평문의 첫 블로크와 
XOR 된다. 복호화에서 IV 는 복호알고리듬의 출력과 XOR 되여 평문의 첫 블로크를 재생 
한다. 

IV 는 송신자와 수신자 량측에 다 알려 져 야 한다. 최 대의 보안을 위하여 IV 는 열쇠 
와 마찬가지로 보호되여야 한다. 이것은 ECB 암호화를 리용하여 IV 를 보내면 된다. IV 
를 보안해 야 할 하나의 근거 는 다음과 같다. 만일 적 이 IV 의 다른 값을 리용하여 수신 
자를 속이 려 한다면 평문의 첫 블로크에 서 선택 된 비 트들을 바꾸어 놓을수 있 다. 이 에 
대하여 다음과 같은 관계를 보자. 
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그림 3-12. 암호블로크련쇄방식 


이제 XW 로 64- bit 량 표의 궁 번째 비트를 표기하자. 그러면 
PitPil^MeDKCC^B] 

이 로부터 XOR 의 성 질을 리 용하여 다음과 같이 표시할수 있다. 

ipiKNv&r©DK(ci)ra 

여기서 웃반점이 붙은 표기는 대응하는 비트가 반전되였음을 의미한다. 이것은 만일 
적 이 IV 의 비트들을 예측적으로 변화시킬수 있다면 수신된 다의 값에 대응하는 비트들 
이 변경될수 있다는것을 의미한다. 

IV 의 지식에 기초한 다른 공격들에 대하서는 문헌 [ VOYD 83] 을 참고할수 있다. 
결론적으로 CBC 기구의 련쇄는 64 bit 보다 더 큰 길이의 통보문을 암호화하는데 적 당 
한 방식 이다. 

그리고 기밀성을 달성하는 외에도 CBC 방식은 인증에 리용할수 있다. 8장에 그 리 
용에 대하여 서술되여 있다. 

암호반결합방식 

DES 방식은 본질적으로 64 bit 블로크를 리용하는 블로크암호기술이다. 그러나 암호반 
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결 합이 나 출력반결 합방식 을 리용하여 DES 를 흐름암호로 전환시 킬 수 있 다. 흐름암호는 
DES 암호에서 블로크가 64 bit 로 되도록 메꾸기하던것을 하지 않아도 된다. 또한 실시간 



I 밀기등록기 | 

1 64-jbits | jbits | 


니 DES 앙직 






3 


K-^j DES 앙호화 | 

[ 선택 페지 | 

| jbits 1 64-jbits | 


그림 3-13. Jbit 암호반결합 ( CFB ) 방식 


적으로 조작할수 있다. 그러므로 기호흐름을 전송할 때 매 기 호는 암호화되며 기 호-지향 
흐름암호에 의하여 즉시에 전송될수 있다. 

흐름암호가 가져야 할 성질의 하나는 평문과 같은 길이의 암호문을 가져야 한다는것 
이다. 즉 8 bit 짜러기호들이 전송되는 경우 매 기호들은 8개 비트들로 암호화되여야 한다. 
만일 8개 이상의 비트들이 사용된다면 전송용량이 랑비된다. 

그림 3-13 에 CFB 방식을 주었다. 그림 에서 전송단위는 jbit 라고 가정하였는데 일반 
적으로 j =8 이다. CBC 와 마찬가지로 평문의 단위들은 서로 련쇄를 이루며 따라서 임의의 
평 문단위 에 대 한 암호문은 모든 선행한 평 문의 함수이다. 

먼저 암호화를 고찰하자. 암호함수에 대한 입력은 처음에 어떤 초기화벡토르( IV )가 
설정된 64- bit 밀기 등록기 이다. 암호화함수의 출력의 맨 왼쪽의 j 개 비 트들은 평 문의 첫 
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단위 다와 XOR 되 여 암호문 어를 만들고 다음에 다가 전송된 다. 밀 기등록기 의 내 용은 
jbit 만큼 왼쪽으로 밀기되며 (가는 밀기등록기의 맨 오른쪽의 j 개 비트들에 들어 있게 된 
다. 이 과정은 모든 평문의 단위들이 암호화될 때까지 계속된다. 

복호화의 방식도 갈은데 다만 접수된 암호문으로부터 평문을 생성 하기 위하여 암호 
문이 암호화함수의 출력으로 XOR 되는것 이 다르다. 사용되는것은 복호화함수가 아니 라 
암호화함수임 을 주의해 야 한다. 이것은 쉽 게 설명할수 있다. S / X ) 를 표의 가장 왼쪽의 j 
개의 비트라고 하자. 그러면 


따라서 


c^Pies/Edv)) 

p^Cxes/Edv)) 



가) 암호화 





복호화 


그림 3-14. J - bit 출력 반결 합방식 ( CFB ) 


85 














































동일한 추론과정이 처리의 전과정에 반복된다. 

또한 기 밀성 을 위해 CFB 방식 이 인증의 수단으로 리용될수 있다. 이 과정 을 8장에 
서 취급한다. 

출력반결합방식 

출력반결 합방식 은 그림 3-14 에 제 시한것 처 럼 구조상 CFB 와 류사하다. OFB 에 서 밀 
기등록기 에 반결 합하는것 은 암호화함수의 출력 이 지 만 CFB 에서 는 암호문단위 가 밀기등 
륵기에 반결합된다. 

OFB 방법의 우점은 전송시에 오유비트들이 전파되지 않는것이다. 실례로 Q 에서 
어 떤 오유비 트가 생 겨 도 다만 복호된 匕에만 영 향을 주며 다른 평문단위 들에는 영 향 
을 주지 않는다. CFB 에서 어는 밀 기등록기의 입 력 으로 되 며 따라서 오유가 계속 전 
파된 다. 

OFB 의 결 함은 CFB 보다 통보문변경공격 에 약하다는것 이 다. 암호문에 서 한 비 트 
를 반전시키는것은 회복한 평문에서 대응하는 비트를 반전시 킨다. 따라서 회복된 평문 
에 대한 변경을 조종할수 있다. 이러한 변경은 적이 할수도 있는데 적들은 자료부분을 
변경시키거 나 필요하면 통보문의 검 열합부분을 변경하거 나 오유교정코드로는 걸리지 
않는 방법 으로 암호문을 변경시 킬수 있 다. 그에 대 한 구체 적 인 내 용은 [ VOYD 83] 에 
서 참고하시오. 
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문 제 

1. S - DES 에 대한 열쇠생성을 보여 주는 그림 3-2 를 참고하여 대답하시오. 

1) 초기 P 10 치환함수는 얼마나 중요한가? 

2) 두개 의 LS -1 밀 기함수는 얼 마나 중요한가? 

2. S - DES 에서 변수 다와 r 에 대한 방정식들이 S - DES 해석에 대한 절에서 정의되였 
다. S 와 t 에 대한 방정식을 만드시오. 

3. S - DES 를 리용하여 열 쇠 (0111111101) 을 사용하여 렬 (10100010) 을 수동적 으로 
복호하시 오. 매 함수 ( IP , F k , SW , F k , IP _1 ) 를 수행한후의 중간결과를 제시하 
시오. 그리고 평문문자렬의 첫 4 bit 들을 어떤 문자로 복호하고 두번째 4 bit 들을 
다른 문자로 복호하시오. 여기서 2진수로 A 부터 P 까지의 문자들을 부호화하였다 
(즉 A =0000, B =0001, …， P = llll ). 암시: 중간검사로서 SW 의 적용후에 렬은 
(00010011) 로 되여야 한다. 

4. ?!■ 를 옹근수 1,2，-",2”-1의 어떤 치환이 라고 하자. 여기서 ? r ( w ) 은 m , 0< m <2 n 
의 값의 치 환을 준다.다시 말하여 고 가 n-bit 옹근수들의 모임 을 자기 자신에 로 넘 
기고 어느 두 옹근수도 같은 옹근수에로 넘겨 지지 않는다. DES 는 그와 같은 
64 bit 옹근수의 치환이 다. 만일 7 T ( m ) = m 이 면 고 는 부동점 을 가진다고 말한다. 즉 
표가 어 떤 암호화넘 기 기 라면 부동점 은 자지 자체 로 암호화되 는 통보문이 다. 71 가 
부동점을 가지지 않을 확률이 중요하다. 넘기기의 60%이상이 적어도 하나의 부동 
점을 가질수 있는 예상밖의 결과를 보여 주시오. 

5. 길이 지의 블로크를 암호화하는 블로크암호화알고리듬을 생각하자. 이때 N = 2 n 
이 라고 정 의하자. f 개 의 평 문-암호문쌍 P„Q (여 기 서 C ,= E k [ P ,]) 가 주어 졌 다고 
하자. 열쇠 K 는 N ! 개의 가능한 넘기기중에서 선택된다고 가정하자. 힘내기공격 
(완전탐색)으로 열쇠 K 를 탐색하려 고 한다. 이를 위해 열쇠 r 를 발생시키 고 
디=£노 [印가 성 립 하는가를 1이 U 에 대 하여 검 사한다. 만일 K ' 가 매 그 
것의 정확한 C , ■로 암호화하면 K '= K 라고 본다. 그러 나 E K (0 와 E K (0 가 꼭 t 
개 의 쌍에 서 는 일 치 하고 그밖의 모든 쌍들에 서 는 일 치 하지 않는 경 우가 있 을수 
있 다. 

1 ) e k (0 와 e k (0 가 실지로 서로 다른 넘기기일 확률은 얼마인가? 

니 e k (0 와 e k (0 가 다른 /개 평문-암호문쌍 (0 있닝시니)에서 일치할 확률 

은 얼마인가? 

6 . DES 의 복호화는 사실상 DES 의 암호화의 거끌과정 임을 밝히시오. 

7. DES 알고리듬의 16번째 반복후에 32 bit 교환은 암호문을 거물순서로 된 열쇠를 가 
지고 알고리듬에 암호문을 반대로 단순히 실행시키여 암호화과정을 거꾸로 하는 
데 필요하다. 이것을 문제 3. 6에 주었다. 그러나 왜 32 bit 교환이 필요한가는 아 
직 석 연치 않다. 그것을 명백 히 하기 위해 다음 문제를 푸시 오. 먼저 몇 가지 표 
기를 약속하자. 

A | | B = 기 호렬 A 와 B 의 련결 

T ,-( R | | L )= 암호화알고리 듬의 번째 반복에서 정의 되 는 변환，1 < i < 16 
TD ,+ ( R | | L )= 복호화알고리듬의 i 번째 반복에서 정의되는 변환， l < i < l 6 
T 17 ( R | | L )= L || R : 이 변환은 암호화알고리듬의 16번째 반복후에 일어 난다. 
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1) TDAlPaP— 1 ( T 17 ( T 16 ( L 15 | 1 R 15 ))))) 는 32- bit 반토막 Li 5 와 R 15 의 교환변환 
과 동등함을 밝히시오. 즉 

TDidPdp- 1 ( T 17 ( T 16 ( L 15 | | Ri 5 )))))= Risl |Lis 

2) 암호화알고리듬에서 마지막 32- bit 교환부분을 제거하였다고 가정하자. 이때 
다음 관계가 성립하는가? 

TDiClPdP- 1 ( T 16 ( L 15 | | R 15 ))))= L 15 | | Ri 5 

8 . 표 3 - 2 의 T 와 표 3-4 의 l 를 비 교하시 오. 구조가 류사한가. 만일 류사하다면 그 
류사성을 설명 하시오 여기 로부터 어떤 결론을 내릴수 있는가? 

9. 복호를 위해 DES 알고리듬을 리용한다면 16개의 열쇠 ( K4 , …， K 16 ) 들이 거끌순서 
로 적 용된 다. 따라서 그림 3-8 의 오른쪽은 필 요 없 다. 복호처 리 를 위한 적 당한 
밀 기 절 차를 가지 는 (표 3-4 의 n 와 류사한) 열 쇠 창조도식 을 설 계 하시 오 . 

10 . 1) 1 VT 는 보의 매 비트를 반전한것 이 라고 하자. 만일 평문블로크의 보수를 취 

하고 또 암호열쇠 도 보수를 취 한다면 이 값을 가지 고 진행한 암호화의 결과 
는 초기암호문의 보수라는것 을 증명 하시 오. 즉 

만일 

Y = DES k ( X ) 

이면 


y '= des k ’( x ，) 

암시 : 길이가 같은 임의의 두 비트렬 A 와 묘를 가지고 (A®B)'=A'®B 임을 보여 
주시오. 

T -) DES 에서 힘내기공격에 필요한 열쇠공간의 크기는 2 56 이다. 1의 결과는 그 
것을 변화시키는가? 

11. DES 에서 매 부분열쇠 의 첫 24 bit 는 초기 열쇠의 28 bit 의 같은 부분모임 에서 생 기 
며 매 부분열쇠의 두번째 24 bit 들은 초기열쇠의 28 bit 의 다른 부분모임 에서 생 긴 
다는것을 밝히시오. 

12. DES 의 ECB 방식으로 전송된 암호문의 어떤 블로크에 오유가 있으면 대응하는 
평문블로크만이 영향을 받는다. 그러나 CBC 방식에서는 이 오유가 전파된다. 실 
례로 전송된 Q 에 있는 오유는(그림 3-12) 명백히 다와 P 2 에 영향을 미친다. 

1 ) P 2 외 에 어떤 블로크에 영향을 미 치는가? 

l ) 가령 다의 원천에서 어 떤 비 트가 오유라고 하자.얼마나 많은 블로크들에 이 
오유가 전파되는가? 수신자에게 어떤 영향을 주는가? 

13. 8- bit 문자 CFB 방식 에서 암호문의 전송에 어 떤 비 트오유가 생 긴다면 오유는 얼마 
나 멀리 전파되는가? 
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부록 3： 벤트함수 

이 부록에서는 벤트함수와 s - 통에 대한 그것들의 응용을 정의하고 그 의미를 밝 
혔 다. 

n-bit 옹근수를 한 비트에로 넘기는 함수 f(x) 를 고찰하자. 이것을 흔히 f:{0 ， l ” ᅳ 
{0,1} 로 표시한다. 인수 x 는 nbit 야에 ，… 자재 ) 렬이 다. n=3 일 때 {g(000)=0 ； g(001)=1 ； 
g(010)=1; g(011)=0 ； g(100)=1; g(101)=0 ； g(110)=1; g(lll)=0;} 과 같이 정 의할수 있 
다. 그러한 함수를 렬의 K 번째 칸에 g(K) 를 대응시키는 렬벡토르로 표현할수 있다. 즉 
우의 실례는 다음과 갈다. 


,0、 

1 

1 

0 

厂 1 
0 
1 

0 ^ 

함수 f :{ 0 ， l }” ᅳ { 0 , 1 } 의 왈슈 (walsh) 의 변환은 다음식으로 정의된다. 


W/(w) = 2 ^ 1 (-l) /w+w ^ 


여기서 


w •ᄌ = 씨아나에 © … ® w 0 x () 

이며 w 는 0 < w < 2” _1 범위의 옹근수이다. 더하기에서 매 항은 +1 혹은 -1 만을 취한다. 
따라서 주어 진 w 의 값에 대하여 자細)의 값은 - 2 n < W f ( w ) < 2 n 범위의 옹근수로 된다. 
/ Cc ) 를 왈슈의 거 물변환을 리 용하여 다음과 같이 표시할수 있 다. 

2 w =o 


즉 /00는 W 의 함수들의 합으로서 표시된다. 

N 이 짝수일 때 벤트함수의 모임은 f : { 0 , 1 }* 낙 { 0 , 1 } 의 함수의 모임이다. 여기서 


W f (w) = ±2 n,2 Vwe {0,1}" 
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벤트함수의 실제적정의는 약간 추상적이다. 즉 그것은 왈슈변환이 상수값을 가지는 
2 진벡토르이다. 

이것 을 단편적 으로 고찰하자. 왈슈변환은 푸리 예변환과 비슷하지만(기 본적 인 공학적 
개 념의 류사성 ) 련속인 시 간에 관계 되 는 함수가 아니 라 리산2진벡 토르이 다. 푸리예변환 
과 마찬가지 로 왈슈변환은 다른 “령역 ” 에 로 이 끌어 간다(시 간 대 주파수로가 아니 라 
개념적으로 류사하다). 변환된 벡토르의 절대값을 취하면 물론 모두 정의옹근수를 준다. 
만일 이 수들이 다 같다면 그 변환값을 상수 ( flat ) 혹은 상수값 (flat magnitude ) 을 가지 
는 왈슈변환이 라고 말한다. 

이것의 의미는 무엇인가? 다시 푸리예변환과 대비하여 고찰하자. 푸러예변환은 변환 
전의 시 간령 역 의 함수가 변환후에 도 주파수령역 의 량으로 된다. 왈슈변환에 서 도 마찬가 
지 이다. 변환된 벡토르는 처음 초기벡토르에 관여되는 조각 ( piece ) 들의 전부이다. 차이 
는 왈슈변환에서 수행되는 연산이 어떤 특정의 행렬과의 곱하기라는것이다(왈슈행렬은 
기수이면 충분하다). 이 행렬은 필요한 길이를 가지는 모든 선형2진벡토르의 합성인데 
변환 그 자체는 초기벡토르의 선형벡토르모임으로의 넘기기이다. 따라서 상수값은 모든 
선형벡 토르들이 론의하는 벡 토르에 똑같이 기 여 함을 의미 한다. 이것은 비선형성을 반영 
한다. 

이것이 S- 통에 어떻게 관계되는가? nxm 의 S- 통은 n-bit 입력을 m - bit 출력으로 넘 
긴다. 이 미 언급한것 처 럼 nxm 의 s - 통은 m 개 비 트들의 2" 개 의 행 들로 이 루어 진다. 입 
력의 nbit 는 S- 통의 행의 하나를 선택하며 그 행의 m 개 비 트들이 출력된다. 그러 므로 
S- 통을 m 개 렬벡토르 나“니 ( 功 ... 이⑴어 ( 功 ] 의 모임으로 볼수 있다. 즉 S- 통의 매렬은 
c, :{0， l } B 〜 M 0， l } 과 같은 함수로 볼수 있다. 이로부터 렬들이 벤트함수인 S- 통의 구조 
와 리용에 대하여 고찰할수 있다. 

벤트함수는 많은 흥미 있는 성질을 가진다. 그중에서 최대의 비선형성과 완전히 (최 
고차에 서 ) 엄 격 한 사태 성 기 준 (Strict Avalanche Criterion ) 은 S - 통설 계 에 서 가장 흥미 
있 는것 이 다 . 이 리 상적 인 특성 은 4장에 서 론의 되 는 CAST 설 계 과정 에 서 발휘 된 다 . 
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제 4 장. 전틍암호: 알고리듬 


이 장에서는 현재 리용되고 있는 몇가지 대칭블로크암호들에 대하여 취급한다. 이 
암호들은 다음과 같은 기준들에 기초하여 선정되였다. 

1 . 암호들은 상당한 암호강도를 가진다. 

2 . 암호들은 인 터네 트상의 응용프로그람들에 서 보편적 이 다. 

3. 암호들은 DES 가 도입된 이후 개발되여 온 현대 대칭블로크암호기술들을 반영한다. 

여기서는 3중 DES , IDEA , Blowfish , RC 5, CAST , RC 2 알고리듬들이 고찰된다. 
이 장의 마지막에 개량된 대칭블로크암호들의 중요특징에 대하여 개괄하였다. 


4.1 3중 DES 

힘내기공격에 대한 DES 의 잠재적인 약점이 발견되면서 그의 대안을 개발하는데 많 
은 주의 가 돌려 졌 다. 한가지 방도는 완전히 새 로운 알고리 듬을 설계하는것 인데 그에 
대 한 여 러 가지 실 례 들을 이 장에 서 보여 주었 다. 쏘프트웨 어 와 장비측면 에 서 현존투자 
를 보존하는 다른 방도는 DES 의 다중암호화와 다중열쇠들을 리용하는것 이 다. 여 기서는 
먼저 두번째 방도의 가장 단순한 실례 를 고찰한다.그 다음 광범히 쓰이 고 있는 3중 DES 
방법을 보여 준다. 

2 중 DES 

다중암호화의 가장 단순한 형태는 두개의 암호화단계와 두개의 열쇠들을 리용하는것 
이 다(그림 4-1 의 - T ). 평문 P 와 두개의 암호열쇠 Ki , K 2 이 주어 졌을 때 암호문 C 는 

C = EJEJP ]] 

로서 생성된다. 

복호화에서는 그 열쇠들을 거물순서로 적용한다. 즉 
P = D , i [ D , 2 [ C ]] 

DES 에 대하여 이 방식은 열쇠길이가 56 x 2=112 bit 이므로 암호강도는 증가한다. 그 
러나 보다 엄격히 검사하여야 한다. 

한단계에로의 변환 

모든 56- bit 열쇠값들에 대하여 확실하다면 임의의 두개의 열쇠 於^와 K 2 에 대하여 
E , 2 [ E , i [ P ]] = E Jf2 [ P ] (4-1) 
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암호화 



K 2 Ki 



복호화 

l ) 3중암호화 


그림 4-1. 다중암호화 


를 만족시 키 는 열쇠 K 3 을 얻 을수 있 다. 이 경 우에 2중암호화 및 몇단계 로 구성 된 DES 
의 다중암호화는 그 결과가 단순히 56 bit 열쇠를 리용하는 단순 DES 와 동등하므로 그리 
쓸모가 없다. 

이렇게 놓고 볼 때 식 4-1 이 꼭 성립한다고는 볼수 없다. DES 의 암호화를 64 bit 블 
로크의 64 bit 블로크에로의 넘기기로서 고찰하자. 넘기기는 치환으로 볼수 있다. 즉 가능 
한 모든 개의 입 력블로크들을 생각하면 특정한 열쇠 에 대 한 DES 암호화는 매 개 블로 
크들을 유일한 64 bit 블로크로 넘긴다. 그렇지 않고 주어 진 두개의 입력블로크들이 갈은 
출력블로크로 넘 겨 진다면 본래 의 평 문을 엄 는 복호화는 불가능하다. 2 s4 개 의 가능한 입 
력 들에 대 하여 입 력블로크들의 치 환을 생 성하는 서 로 다른 넘 기 기들이 얼 마나 있는가? 
그 값은 


( 2 64 )!= 10 3 


K Xio lo2 °.) 
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이라는것을 쉽게 알수 있다. 다른 한편 DES 는 매개의 서로 다른 열쇠들에 대하여 하나 
의 넘기기를 정의한다. 전체 넘기기의 수는 

2 56 <10 17 

이 다. 그러 므로 만일 DES 가 서 로 다른 열쇠들로써 두번 적 용되 였 다면 DES 의 한번 적 
용으로는 정의하지 못하는 많은 넘 기 기들중의 하나를 생성 한다고 가정 하는것 이 지 당하다. 
이 가정 에 대 한 많은 증거 들이 있 었지만 그 가정 은 1992년에 야 비 로소 증명 되 였 다(문헌 
[ CAMP 9 幻). 

중간대 조공격 

즉 2중암호화를 리용하면 단순 DES 의 암호화와 같지 않은 넘기기가 생성될수 있다. 
그러 나 이 러 한 방식 을 공격 하는 다른 방법 이 있 는데 그것 은 DES 의 어 떠 한 개 별적 성 질 
에도 의존하지 않으면서 임의의 블로크암호도 공격할수 있다. 

중간대 조공격 법 ( meet - in-the middle ) 으로 알려 진 이 알고리 듬은 문헌 [ DIFF 7 기 에 
서 처음으로 발표되였다. 그것은 


C = E K 2 [ E K [ V ]] 


이 라면(그림 4-1 의 1을 보시 오. ) 


X = E, i [P] = D, 2 [C] 

이라는 고찰에 기초하였다. 이미 알려 진 쌍 ( P , C ) 가 주어 졌을 때, 그 공격법은 다음 
과 갈다. 먼저 K4 에 대한 가능한 2 56 개의 모든 값들에 대하여 모를 암호화한다. 그 결과 
들을 표에 보관하고 표의 값들에 따라 그 표를 분류한다. 다음 K 2 에 대 한 2 56 개의 가능 
한 모든 값들을 리용하여 C 를 복호한다. 매번 복호가 진행될 때마다 그 결과가 표와 일 
치하는가를 검사한다. 만일 일치되면 얻어 진 두개의 열쇠들을 새로운 기지의 평문-암호 
문쌍에 대 하여 검 사한다. 만일 그 두개 의 열쇠 들이 정 확한 암호문을 생 성하면 정 확한 열 
쇠 라고 인정한다. 

어떤 주어 진 평문 P 에 대 하여 2중 DES 로써 생성할수 있는 2 64 개의 가능한 암호문값 
들이 있다. 2중 DES 는 실지 112 bit 열쇠를 리 용하므로 가능한 열쇠 개수는 2 112 개 이 다. 

그러 므로 평 균적 으로 볼 때 주어 진 평 문 P 에 대 하여 주어 진 암호문 C 를 생 성하는 
서 로 다른 비 트열쇠 의 개 수는 2 112 /2 64 =2 48 개 이 다. 그러 므로 우와 같은 방법 은 첫 ( P , C ) 
쌍에 대 하여 2 48 개 가 실패할것 이 다. 마찬가지의 론의과정 에 추가적 인 64 bit 의 기지평문과 
암호문에 대 하여 오유통보률은 2 48 — 64 =2_ 16 이 라는것을 알수 있 다. 다시 말하여 우와 같은 
공격이 알려 진 평문-암호문의 두개 블로크우에서 수행된다면 정확한 열쇠가 얻어 질 확 
률은 1-2 _16 으로 결정된다. 그 결과는 기지평문공격 이 112 bit 의 열쇠길 이를 가지 는 2중 
DES 에 대 하여 단순 DES 에서 요구되는 2 55 오다보다 그닥 좋지 못한 2 56 오다로서 성공적 이 
라는것을 보여 준다. 
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두개의 열쇠를 가진 3 중 DES 

우에서 언급한 공격법을 막기 위한 명백한 대 책은 3개의 서로 다른 열쇠들을 리용한 
3단계암호화이다. 이것은 기지평문공격비 용이 2 112 토서 현재와 먼 장래의 실천범위를 벗 
어 나지만 이것은 56 x 3=168 bit 의 열쇠길이를 요구한다는 결함이 있으므로 널리 쓰이지 
못하고 있다. 

그 대 안으로서 트츠만 ( Tuchman ) 은 두개의 열쇠만을 리용하는 3중암호화방법 을 제 
안하였다 [TUCH 79]. 그 함수는 암호-복호-암호 ( DES ) 렬에 따른다(그림 4_1의 L ). 즉 

C = E, i [D, 2 [E, i [P]]] 

두번째 단계 에서 복호를 리용하는것은 아무런 암호학적의의도 없다. 다만 3중 DES 
의 사용자들이 이전 시기의 단순 DES 사용자들이 암호화했던 자료를 복호할수 있게 한다. 


CzEkJDa [E 지 [P]]] = E 시 P] 

두개의 열쇠를 가지는 3중 DES 는 단순 DES 에 대한 비교적 보편적인 방법으로서 열 
쇠관리규격인 ANS X 9. 17 (American National Standard ： ANS , 금융열쇠관리협회. 명 
칭으로 보면 X 9.17 은 규격이 불명확해 보인다. 이 규격에서 정의된 수많은 기술들은 이 
책 전반을 통하여 알수 있는것처 럼 다른 표준규격들과 응용에서 널리 리용되 여 왔다.)과 
ISO 8732를 리용할수 있게 되여 있다. 

현재 까지 는 3중 DES 에 대 한 실 천적 인 암호분석 공격 법 이 없 다. 코퍼 스미 스 (Copper 
smith ) 문헌 [ COPP 94] 에서 는 3중 DES 에서의 전수열쇠 탐색 방법 은 그 비 용이 2 112 =(5冷 
10 33 )오다이 라는것 을 언급하고 다른 암호분석비 용은 단순 DES 에 비 하여 지 수적 으로 증가 
하여 10 52 를 넘는다고 보고 있다. 

실천적 이 못되지만 보다 앞으로의 성공적인 공격들의 기초를 이루는 여러가지 공격형 
태들에 대하여 중요한 3중 DES 에 대한 여러가지 공격방법들을 고찰하는것은 의의가 있다. 

첫 제 안은 머 클 ( Merkle ) 과 헬 만 ( Heilman ) 의 문헌 [ MERK 81] 에 서 찾아 볼수 있 다. 
그들의 계획은 A =0( 그림 4-1 의 l ) 인 첫 중간단위값을 생성하는 평문값들을 얻고 그다 
음 두개 의 열쇠 를 결정 하기 위하여 중간대 조공격 을 리 용하는것 이 다. 들여 야 할 품은 2 56 
이지만 그 기술은 2 56 개의 선택평문-암호문쌍을 요구한다. 이것은 열쇠소유자가 제공할 
수 없는 수일것이다. 

기 지 평 문공격 은 문헌 [ OORS 90] 에 서 보여 주었 다. 이 방법 은 선택 평 문공격 법 을 개 선 
한것이지만 보다 많은 비용을 요구한다. 그 공격법은 A 와 C (그림 4-1 의 L ) 를 알면 2중 
DES 에 대한 공격 으로 귀착된다는데 기초하고 있다. 물론 공격자는 모와 C 가 알려 졌어 
도 두 열쇠를 모르면 A 를 알수 없다. 그러나 공격자는 A 의 가능한 값을 선택할수 있으 
며 그다음 A 를 생 성하는 이 미 알려 진 ( P , C ) 쌍을 얻 으러 고 한다. 

그 공격은 다음과 같이 진행된다. 

1. n 개의 ( P , C ) 쌍을 얻는다. 이것은 이미 알려 진 평문이다. 이것들을 P 의 값에 
따라 분류하여 표(표 1) 에 넣는다(그림 4-2 의 T -). 
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자) 두 열쇠 3 중암호화 


Pf C i 


L ) P 에 따라 분류된 
n 개의 기지평문- 
암호문장들의 표 


By Key i 


도) 중간값들과 
후보열쇠들의표 


그림 4-2. 3중 DES 에 대한 기지평문공격 


2 . A 의 임의의 값 a 를 잡고 다음과 같은 방법으로 정의된 성원들로 이루어 진 두 
번째 표(그림 4-2 의 n ) 를 창조한다. 2 56 개의 매 가능한 열쇠 이에 대하여 a 
를 생 성하는 평 문값 Pi 를 계 산한다. 즉 


Pi = Df [ a ] 


표 1의 성 원과 일 치하는 매 PH 대 하여 &값을 가정 하면서 표 1로부터 ( P , C ) 
쌍을 생성하는 묘의 값과 &값으로 이루어 지는 표 2의 성 원들을 창조한다. 즉 


B=D 厂 ■ 


마지막으로 묘의 값에 따라 표 2를 분류한다. 

3. 이때 표 2에서 의 여러가지 후보값들을 얻을수 있으며 그것들로써 K 2 의 값에 

대 한 람색 을 할수 있 다. 2 56 개 의 매 가능한 열쇠 K 2 = j 에 대 하여 선택한 값 a 에 
대 한 두번째 중간값을 계산한다. 


B 广 D ; [ a ] 
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매 단계 마다 표 2 로부터 B 7 • 를 찾는다. 그러한것 이 있 으면 표 2 의 대 응하는 열쇠 
*_ 와 이 값 j 는 미지열쇠 ( Ki , K 2 ) 들에 대 한 후보값이 다. 그것 은 기지 의 ( P , C ) 
쌍을 생성하는 열쇠쌍 ( i ， j ) 를 발견했기때문이다(그림 4-2 의 1 ). 

4. 몇개의 서로 다른 평문-암호문쌍들에 대하여 매 후보열쇠쌍 G _, j ) 를 검사한다. 
만일 그 열쇠 쌍이 문제 의 암호문을 생 성하면 과업 은 끝난다. 그 쌍이 암호문을 
생 성하지 못하면 새 로운 a 값을 주어 단계 1 로부터 반복한다. 

주어 진 기지의 ( P , 必에 대하여 열쇠들을 얻는데 성공할수 있는 유일한 값 a 를 
선택할 확률은 1/2 64 이 다. 때 문에 «개 의 ( P , C ) 쌍에 대 하여 값 a 가 얻 어 질 확률은 
„/ 2 64 이 다. 확률론의 기초적 인 결과들중 하나로서 n 개의 붉은색 공들과 " _ n 개의 풀색 
공들이 들어 있는 통에서 하나의 붉은색 공을 꺼내는 회수는 공들이 바뀌여 지지 않는 
한 ( N + l )/(«_ l ) 이다. 이로부터 실행 하여야 할 a 값들의 기대되는 개수는 «이 클 때 

로 된다. 따라서 우와 같은 공격 법의 실행시 간은 (2 56 )f = 2 12(W ° g2 " 이 다. 

3개의 열쇠를 가지는 3중 DES 

비 록 우와 갈은 공격 법 들이 실 천적 인것 갈지 않지 만 2열쇠3중 DES 를 리용하는 사람 
에게는 흥미가 있을수 있다. 즉 많은 연구사들이 3열쇠3중 DES 가 더 좋은 후보암호로 
될수 있다는것을 느끼기 시작하였다 ([KALI 96]). 3열쇠3중 DES 는 168 bit 의 효과적인 
열쇠를 가지는데 다음과 같이 정의된다. 

C = E K3 [D Ki [E Ki [m 

K 3 = K 2 혹은 토 놓으면 단순 DES 의 경우로 된다. 

PGP 나 S/MIME 를 비 롯한 수많은 인 터네 트관련의 응용들에 서 는 3열 쇠 3중 DES 를 리 
용하는데 이 에 대 해서 는 12 장에서 론의한다. 


4.2 국제자료암호화알고리듬 

국제 자료암호화알고리 듬 (International Data Encryption Algorithm : IDEA ) 은 스 
위스련방기 술협회 (Swiss Federal Institute of Technology ) 의 쓰웨자 라이 (Xuejia 
Lai ) 와 제 임스 마쎄 이 (James Massey ) 가 개 발한 대 칭 블로크암호이 다. 초판은 문헌 
[ LAI 9()] 에 제시되 였다. 차분암호분석공격 에 대 처하여 설계된 개 량판은 문헌 [ LAI 91] 에 
서 서 술하였 으며 보다 상세한 내 용은 문헌 [ LAI 9 幻 에 서 참고할수 있 다. 

IDEA 는 3장에서 론의한것처럼 자기 생명주기의 마감에 도달한 DES 를 대신하여 최 
근시기에 제 안된 많은 전통암호알고리듬들중의 하나이며 그중에서 거의 완성된것으로 인 
정되고 있다. IDEA 는 PGP 에서 리용되고 있으며 (12 장에서 론의) 빠른 속도로 광범히 
리용되고 있는 알고리듬이라고 볼수 있다. 
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설계원리 

IDEA 는 64 bit 크기로 블로크화된 자료를 128 -bit 열쇠를 리용하여 암호화하는 블로크 
암호이다. 반면에 DES 는 64 -bit 블로크들을 사용하지만 열쇠길 이는 56 bit 였다. IDEA 의 
설계목표는 암호강도를 높이는것과 실현을 간단하게 하는것이다. 

암호강도 

다음과 같은 IDEA 의 특성들은 암호강도와 련관된다. 

• 블로크길 이 : 블로크의 길 이 는 통계 적 해 석 을 할수 없을 정 도로 길 어 야 한다(즉 
어떤 블로크들이 다른 블로크들보다 더 자주 나타나는 편향을 없애야 한다). 한 
편 어떤 효과적인 암호화함수라고 할 때에는 복잡성이 블로크크기에 따라 지수 
적 으로 증가하도록 하여 야 한다(문헌 [ WEGE 87]). 64 bit 블로크크기 의 리 용은 일 
반적으로 강한것으로 인정되고 있다. 게 다가 연산에 대한 암호반결합 ( feedback ) 
방식의 리용은 알고리듬의 강도를 이와 갈은 측면에서 보다 강하게 한다. 

• 열쇠길이: 열쇠길이는 열쇠탐색을 할수 없을 정도로 길어야 한다. IDEA 의 열 
쇠길이는 128 bit 토서 이 측면에서 앞으로도 안전할수 있다. 

• 혼란 ( confusion ) : 암호문은 평문과 열쇠 가 복잡하게 얽 히 여 생성되 여 야 한다. 
목적은 암호문의 통계적특성이 평문의 통계적특성에 어떻게 관계되는가를 알수 
없게 복잡하게 하는것 이다. IDEA 는 3개의 서로 다른 연산들을 리용하여 그 목 
적 을 달성한다. 이 것은 DES 와 대 조적이 며 원리 적 으로 XOR 연산과 작은 비 선 
형 S - 통들에 따른다. 

• 확산 (di 打 usion ): 매 평문비트들이 모든 암호문비트에 영향을 주어야 하며 매 
열쇠비트들도 모든 암호문비트에 영향을 주어야 한다. 많은 암호문비트들에로 
하나의 평문비 트를 확산하는것 은 평문의 통계 적구조를 숨길 수 있 게 한다. 
IDEA 는 이 점에서 매우 효과적이다. 

마지막 두가지 점들에 대하여 구체적으로 고찰하자. IDEA 에서 혼란은 3개의 서로 
다른 연산들을 혼합하여 실현된다. 매개 연산은 하나의 16 -bit 출력을 엄는데 두개의 16- 
bit 입력을 리용한다. 이 연산들을 

• ©로 표식된 비트별 배 타적론리합 

• 입력과 출력이 부호 없는 16 -bit 옹근수로 처리되는 mod 2 16 (65536)에 관한 옹 
근수들의 더하기 . 이 연산은 e 로 표시된다. 

• 모두 0 인 블로크는 2 16 으로 취급한것을 제외하고 입출력이 모두 부호 없는 16- 
bit 옹근수로 처리되는 mod 2 16 +1(65537)에 관한 옹근수곱하기. 이 연산을 田로 
표시 한다. 

실례로 

0000000000000000 O 1000000000000000=1000000000000001 
왜냐하면 


2 16 x 2 15 mod (2 16 + 1) =2與 
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S . 4-1 에 2- bit 수 (16- bit 수들로 하기보다)들에 대 한 우의 3개 연산결과를 보여 주 
5 1 3개 연산들은 다음과 같은 의미에서 량립되지 않는다. 

L . 이 3개 연산들의 어느 쌍도 분배법 칙을 만족시키지 못한다. 실례 로 

a <3 c ) 굴 (a 公 ) G ) (a Oc ) 


표 4-1. _ IDEA 에서 리용된 함수 (2 bit 길이에 대한 연산) 


X 

Y 

X a Y 

XOY 

X®Y 

0 00 

0 00 

0 00 

1 01 

0 00 

0 00 

1 01 

1 01 

0 00 

1 01 

0 00 

2 10 

2 10 

3 11 

2 10 

0 00 

3 11 

3 11 

2 10 

3 11 

1 01 

0 00 

1 01 

0 00 

1 01 

1 01 

1 01 

2 10 

1 01 

0 00 

1 01 

2 10 

3 11 

2 10 

3 11 

1 01 

3 11 

0 00 

3 11 

2 10 

2 10 

0 00 

2 10 

3 11 

2 10 

2 10 

1 01 

3 11 

2 10 

3 11 

2 10 

2 10 

0 00 

0 00 

0 00 

2 10 

3 11 

1 01 

1 01 

1 01 

3 11 

0 00 

3 11 

2 10 

3 11 

3 11 

1 01 

0 00 

3 11 

2 10 

3 11 

2 10 

1 01 

1 01 

1 01 

3 11 

3 11 

2 10 

0 00 

0 00 


이 3개 연산들은 결합법칙을 만족시키지 못한다. 실례로 

( 公 ®) c) 굴 (公田公 )®) c 

3가지 서로 다른 연산들을 조합하여 리용하는것은 입력에 복 
XOR 함수만에 의 존하는 DES 와 갈은 알고리 듬보다 암호분석사 

스 A 에서 확산은 곱하기/더 하기 구조 ( MA : Multiplication Additi 
알고리듬에 의해 제공된다(그림 4-3). 이 구조는 입력으로서 ^ 
개의 16- bit 값들과 열쇠로부터 엄어 지는 두개의 16- bit 열쇠값 
력을 생성한다. 철저한 름퓨터검사를 진행하여 첫단 (first round ) 




F 2 


Fi 


z 5 



Z 6 


그림 4-3. 곱하기/더하기 (MA) 구조 


입력으로 주어 지는 평문의 모든 비트와 부분열쇠들의 매 비트에 의존한다는것을 알았다. 
이 구조는 알고리듬에서 8번 반복되 여 매우 효과적 인 확산을 제공한다. 게 다가 이 구조 
가 완전확산을 실현하면서도 최소개수 (4 개)의 연산들을 리용한다는것을 알수 있다 
[LAI911. 

실현 

IDEA 는 쏘프트웨어와 하드웨어실현을 둘다 쉽게 구성하도록 설계되였다. VLSI 
에서 전형적 인 장치실현은 고속성 을 이 록하도록 설계되 였다. 쏘프트웨 어실현은 유연성 
과 저 가격 성 이 라는 우점 을 가진 다. 문헌 [LAI90] 에 는 다음과 갈은 설 계 원 칙 이 서 술되 
였 다. 

• 쏘프트웨 어 실현을 위 한 설계 원칙 

□ 부분블로크의 리용: 암호연산은 8，16 혹은 32bit 와 같은 쏘프트웨어 에 알 
맞는 부분블로크들을 처 리 하도록 되 여 야 한다. IDEA 는 16-bit 부분블로크들 
을 리용한다. 

□ 간단한 연산들의 리용: 암호화연산들寒 더 하기 , 밀기 등을 리용하여 쉽게 
프로그람화될수 있어야 한다. IDEA 의 3가지 기초연산들은 이 요구를 만족 
시 킨다. 3가지 연산들중 가장 어 려운 mod (2 16 +1)의 곱하기는 실제 로는 간 
단한 기초연산들로부터 엄어 진다(문제 4-4 를 보시오). 

• 장치 실현을 위한 설계 원칙 

ᄆ 암호화 및 복호화의 단순성: 암호화와 복호화는 다만 열쇠를 리용하는 방 
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법에서만 차이나고 갈은 장치가 두 부분에서 다 쓰이도록 구성하여야 한다. 
DES 와 마찬가지로 IDEA 도 이 요구를 만족시키는 구조를 가진다. 

규칙적인 구조: 암호에서 VLSI 실현을 간단하게 하기 위해서는 규칙적인 모 
둘구조를 가져 야 한다. IDEA 는 여 러번 반복되는 두개의 기초모둘블로크들 
로 구성되였다. 


64bit 평문 X 


128 bit 열 쇠 


lx, lx 2 lx 3 lx 4 



jw 21 jw 22 |w 23 |w 24 
1111 
I I I I 

I I I I 

|w 71 |w 72 |w 73 |w 7i 


8 단 


l W 81 |w 82 jw 83 |w 84 


출력 변환 


E 


-Zl 

-Z6 

- z 7 

-Zl2 


- Z 43 

' Z 48 

Z 49 

Z 52 


부분열쇠생성기 


Z 52 


l Y i I 하 |y 3 k 

I 

64 bit 암호문 Y 

그림 4-4. IDEA 의 총 구조도 


IDEA 암호화 

IDEA 의 총적방식 은 그림 4-4 와 같다. 모든 암호방식 들과 마찬가지 로 암호화함수 
에는 두개의 입력 즉 평문과 열쇠가 있다. 이 경우 평문은 64 bit 길이이며 열쇠는 
128 bit 길이이다. 그림의 왼쪽견에서 알수 있는것처럼 IDEA 는 마지막변환함수를 제외 
하고는 8개 단으로 되여 있다. 알고리듬은 입력을 4개의 16- bit 부분블로크들로 분할한 
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다. 매 단은 입 력 으로서 4개의 16- bit 부분블로크를 가지 고 4개의 출력부분블로크를 내 
보낸다. 마지막변환도 4개의 16- bit 부분블로크를 내보내며 이것들은 묶어 져 64- bit 의 
암호문을 생 성한다. 매 단은 또한 6개 의 16- bit 부분열쇠 들을 리 용하며 마지 막변환이 4 
개 의 부분열쇠 들을 리용함으로써 총 52개 의 16- bit 부분열 쇠 들을 리용하게 된 다. 그림 
4-4 의 오른쪽 그림은 이 52개의 부분열쇠들이 모두 초기의 128- bit 열쇠로부터 생성된 
다는것을 보여 준다. 

한개 단의 세부 

그림 4-5 에서 보여 준것처럼 알고리듬의 한개 단에 대하여 보다 구체적으로 고찰 
하자. 사실 그림 4-5 는 IDEA 의 첫단이 다. 그밖의 단들은 같은 구조를 가지 지 만 입 력 
과 부분열쇠들이 다르다. 그림을 보고 알수 있는것처럼 IDEA 는 고전페이스텔구조가 
아니 다. 이 단은 더 하기 와 곱하기연산을 리용하여 4개 의 입 력 부분블로크들을 4개 의 부 
분열쇠들과 결합하는 변환으로부터 시 작한다. 이 변환의 4개의 출력부분블로크들을 결 
합하고 XOR 연산을 리용하여 MA 구조의 입력인 두개의 16 -bit 블로크들을 생성한다. 
구조는 입 력으로서 두개의 부분열쇠를 가지며 그 입력들을 조합하여 두개의 16- bit 출 
력을 생성 한다. 

마지막으로 우의 변환의 4개의 출력블로크와 MA 구조의 두개의 출력블로크를 XOR 
로 결 합하여 이 단의 4개 의 출력 블로크를 형 성한다. 두번째 와 세번째 입 력 ( X 2 과 X 3 ) 들 
에 의하여 부분적 으로 생 성된 두 출력 들은 서 로 바뀌 여 두번째 와 세번째 출력 ( W 12 과 
W 13 ) 들을 생성한다. 이것은 처 리가 진행됨에 따라 비트들의 혼란을 증가시켜 차분암호 
분석 공격 을 억 제하도록 한다. 

그림 4-4 에 서 출력변환단으로 표시 된 알고리 듬의 아홉번째 단계 는 그림 4-6 에 보여 
주었다. 이것은 이전 단들(그림 4-5) 의 MA 구조 웃부분에 있는 어두운 4각형과 같은 구 
조를 가진다. 다만 차이점은 두번째와 세번째 입력들이 연산에 참가하기전에 서로 바뀐 
다는 점 이 다. 사실 이것은 8번째 단의 끝에서 서 로 바꿈을 진행하지 않은것과 같은 효과 
를 가진다. 이러한 자리바꿈을 하는 리유는 복호화와 암호화가 같은 구조를 가지도록 
하기 위해서이다. 또한 9번째 단은 4개의 부분열쇠들을 요구하는데 이것은 우의 8개 단 
들에 서 6개 의 부분열쇠 들을 리 용하는것 과 차이난다. 

부분열쇠생성 

그림 4-4 를 다시 고찰하자. 52개의 16- bit 부분열쇠들이 128- bit 암호열쇠로부터 생성 
된다는것을 알수 있다. 그 생성 방식은 다음과 갈다. Zi ， Z 2 , …， Z 8 의 부분열쇠들은 Zi 
은 제 일웃자리의 16 bit 이고 Z 2 은 다음의 16 bit 에 대 응시켜 나가는 방식의 열쇠로부터 직 
접 엄어 진다. 

그다음 25번의 왼쪽순환밀기가 진행된후 다음 8개의 부분열쇠들이 추출된다. 이 과 
정을 52개의 부분열쇠들이 얻 어 질 때까지 반복한다. 그림 4-7 에 기본열쇠 에 대한 모든 
부분열쇠들의 비트할당을 보여 주었다. 

이 방식 은 8개 단에서 부분열쇠 들로서 리 용된 열쇠비 트들을 바꾸는 효과적 인 기 술을 
제 공한다. 매 단에서 리 용하는 첫 부분열쇠 로는 열쇠비 트들의 각이한 모임 이 리 용된다는 
것 을 지 적한다. 만일 열 쇠 가 Z [1.. 128] 토서 표시되였다면 8개 단의 매 개 첫 열 쇠 는 다 
음과 같이 비트할당된다. 
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그림 4-5. IDEA 의 한개 단 (첫단) 


W*l W* 2 W 83 W84 



그림 4-6. IDEA 의 출력변환단계 



































-Z (128 bits). 
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그림 4-7. IDEA 부분열쇠 


Z != Z [1. .16] 
Z 7 = Z [94. .11 幻 
Zis = Z [90. .105] 
Zig = Z [83.. 98] 


Z 25 = Z [76..91] 
Z 31 = Z [44..59] 
Z 37 = Z [34. .52] 
Z 43 = Z [30..45] 


첫째 단과 여 덟 번째 단을 제 외 하고 매 단에 서 리 용되 는 96개 부분열쇠비 트들은 련속 
되 여 있지 않으므로 한 단과 다른 단에 있는 부분열 쇠 들사이 에 는 간단한 밀 기관계 조차 
없다. 그 리유는 매단에서 6개 부분열쇠들만이 리용되고 8개 부분열쇠들은 그 열쇠의 매 
번의 순환으로써 엄어 지기때문이다. 

IDEA 의 복호화 

복호화는 암호화와 같다. 복호화는 그림 4-4 에서 보여 준 총적 인 IDEA 구조에 대 한 
입력으로서 암호문을 리용하여 진행되지만 부분열쇠들은 서로 다르게 선택된다. 복호부 
분열쇠 Ux ,-, U 52 는 다음과 같이 암호화부분열쇠들로부터 얻 어 진다. 

1. 복호화의 /번째 단의 첫 4개 부분열쇠들은 암호화의 (10— 0번째 단의 첫 4개의 
부분열쇠들로부터 엄어 진다. 여기서 변환단계는 9개 단으로 된다. 네번째의 복 
호화부분열쇠들은 대응하는 첫번째와 네번째의 암호화부분열쇠들의 적 mod (2 16 유 
1) 에 관한 거끌과 같다. 2단부터 8단까지의 두번째와 세 번째 복호화부분열쇠들 
은 세번째와 두번째 암호화부분열쇠들의 합！ nod (2 16 + l ) 에 관한 반대원소와 같다. 
1단과 9단에서 두번째 와 세 번째 복호부분열쇠들은 대응한 두번째 와 세 번째 암호 
화부분열쇠들의 mod 2 16 에 관한 반대원소와 갈다. 

2. 첫 8개 단들에 대 하여 복호화의 ;번째 단의 마지 막 두개 복호화부분열 쇠 들은 (9 
_ 0번째 단의 마지막 두개 암호화부분열쇠들과 갈다. 
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그림 4-8. IDEA 의 암호화 및 복호화 

표 4-2 에 이 관계 들이 종합되 여 있 다. Zj 1 은 모드에 관한 곱하기 거 물을 의 미하며 
따라서 =1이 다. 2 16 +1이 씨 수이므로 매개 령 아닌 옹근수 Z 7 ■ 브 2 16 은 7장에서 

보여 주는바와 같이 유일한 거물원소를 가진다. _ Z 7 ■는 mod 2 16 에 관하여 반대원소를 
의미하며 따라서 _ z 7 . ez 7 .= o 을 나타낸다. 

그림 4-8 에 의하여 이 알고리듬이 복호화부분열쇠들에 대하여 정확한 결과를 준다는 
것 을 알수 있 다. 그림 의 왼쪽은 아래방향으로 내 려 가는 암호화과정 을 보여 주며 오른쪽 
은 웃쪽으로 올라 가는 복호화과정을 보여 준다. 8개 단들의 매개는 변환과 부분암호화 
라고 하는 두개의 단계로 또 갈라 지며 그 변환의 부분단계는 그림 4-5 의 우에 있는 어 
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두운 4각형 에 대 응하고 부분암호화단계 는 그 단처리 의 나머 지 에 해 당한다. 

그림 4-8 에 주어 진 두 도식 에서 밑의 4각형들을 고찰하자. 암호화쪽에서 다음과 같 
은 관계 들이 출력변환에 대 하여 성 립한다. 

Yi = W 81 公 Z 49 Y 3 = w 82 ffl Z 5 1 

Y2 = Wg3 ® Z50 Y4 = W§4 O Z52 

복호화처 리 의 첫단의 첫 부분단계 는 다음과 같은 관계 들을 만족시 킨다. 

J u =Yi O Ui Ji 3 = Y 3 a U 3 
Ji 2= Y 2 bb U 2 Ji 4= Y 4 O U 4 

대 입하면 다음과 갈다. 

Jn=Yi O Z~4l= W 81 G Z 49 © Z^=W 81 
Jl2 = Y2 - Z 50 = Wg3 Z50 - Z 50 =Wg 3 
Jl3=Y3 一 Z51 째 l 沈 Z51 -Z 5 i=Wg 2 

Ji 4= Y 4 oz ^= w 84 o Z52 O z ^= w 84 

이렇게 복호처리의 첫 부분단계의 출력은 두번째와 세번째 블로크들의 내부교체를 
제외하고는 암호화처리의 마지막단계의 입력과 같다. 이때 그림 4-5로부터 유도할수 있 
는 다음과 같은 관계를 고찰하자. 

Wgi =1:81 ® MA r (I 81 ® I 83 ， I 8 2 ® Ig4) 

Wg2 =1:83 ® MA r (I 81 ® 183, 1:82 ® :[84) 

Wg3 =Ig2 ® MA l (I 81 ©183^82 ® 1:84) 

W 8 4 =Ig4 ® MA l (I 81 ©I 83 ， I 8 2 ® ]:84) 

여기서 MA R ( X ， Y ) 는 입력 표와 구를 가지는 MA 구조(그림 4-3) 의 오른쪽 출력이고 
MA ： 乂 K ， Y ) 는 입 력 X , 꾼에 대 한 MA 구조의 왼쪽 출력 이다. 이 때 다음과 같이 된다. 


Vn= Jh®MAr(Jii® J13, J12® J14) 

= W 81 ®MAr(W 81 ®W 82 , w 83 ®w 84 ) 

= Isi®MAr(I 81®:[83, :[82®l84) ® 

MAr[1 81 ©MAr(1 81 ®183»1 82 ®1 84 ) ®:[83®MAr(I 81®I83, l82®:[84 ) ， 

I82®MAl(I81®I83» 182®184) ®I84®MAl(I81®:[83, 182®1 84)] 

= 181 ® MAr (1 81 ®183? 1 82 ®184) ® MAr ( I 81®】:83, 1 82 ®1 84 ) 

= 181 
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마찬가지 로 


V12 =l83 
V 13 =I 82 

v w = Ig4 


이다. 

이처럼 복호화처리의 두번째 부분단계의 출력은 두번째와 세번째 블로크들의 교체를 
제외하고는 암호화처리의 마지막부터 다음 부분단계까지의 입력과 같다. 우와 같은 론의 
의 련속으로 이 관계는 


V 81 =In 

V 82 =I 13 

V 83 =Il2 

V 84 = I 14 

으로서 그림 4-8 의 매개 대응하는 점에서 성립한다는것을 알수 있다. 

마지 막으로 복호화처 리 의 출력변환은 두번째 와 세 번째 블로크들의 교체 를 제 외 하고 
는 암호화처리의 첫 부분단계와 갈으므로 전체 암호화처 리의 출력은 그 암호화처리의 입 
력과 같다는것을 알수 있다. 


4.3 BLOWFISH 

Blowfish 는 브루스 슈나이 어 (Bruce Schneier ) (문헌 [ SCHN 93， SCHN 94]) 에 의 하 
여 개 발된 대 칭 블로크암호이다. Blowfish 는 다음과 같은 특성 을 가지도록 설계되 였 다. 

• 고속성 : Blowfish 는 바이트당 18박자주기의 속도로 32- bit 극소형 처 리기에서 자 
료를 암호화한다. 

• 밀집 성 : Blowfish 는 5 K 정 도의 기 억 기 에 서 동작할수 있 다. 

• 단순성 : Blowfish 의 간단한 구조는 실현하기 쉽 고 알고리 듬강도를 결정 하기 가 
쉽게 되여 있다. 

• 가변적 인 안전성 : 열쇠길 이는 가변적 이고 448 bit 길이까지 확장할수 있다. 이 것 
은 고속성과 높은 안전성사이에서 균형을 보장한다. 

Blowfish 는 64 bit 길이의 평문을 64 bit 길이의 암호문으로 암호화한다. Blowfish 는 
여 러가지 제품들로 실현되였으며 충분히 검토되였다. 그러므로 Blowfish 의 안전성에 대 
한 문제는 크게 제기되지 않고 있다. 

부분열쇠와 S - 통의 생성 

Blowfish 는 32부터 448 bit (卜14개의 32 bit 단어)까지의 범위에 놓이는 열쇠를 리용한 
다. 열쇠는 18개의 32- bit 부분열쇠들과 총 1024개의 32- bit 입력들을 포함하는 4개의 8 X 
32 S - 통들을 생 성하는데 리 용된 다. 
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열쇠들은 K- 배렬(幻， K 2 , …， K jt 1 이이 4) 에 보관된다. 

부분열쇠들은 P- 배렬 (바， P 2 , …， P 18 ) 에 보관된다. 

4개의 S - 통들이 있는데 그 매개는 256개의 32 bit 성분들을 가진다. 즉 

1 오1,0, 1 오1,1，•••， *^1,255 

표2,0, *^2,1 > …，하255 

표3,0, *^3,1 > …， *^3,255 

표4,0 , 1 모4,1，…，^4,255 

P- 배 렬과 S - 통들을 생성 하는 단계는 다음과 갈다. 

1. 먼저 P- 배 럴을 초기 화하고 다음 4개의 S - 통들을 일정한 상수 고 의 소수부분의 
비 트들을 리용하여 차례 로 초기 화한다. 따라서 7T 의 매 비 트들중 가장 왼쪽에 있 
는 32 bit 부터 시작하여 Pi, P 2 등으로 설정된다. 실례로 16진수로 다음식이 성립 
한다. 

P x = 243F6A88 
P 2 =85A308D3 

S 4 , 254 =578FDFE3 

5 4>255 = 3AC372E6 

2. K - 배 럴의 단어들을 다시 리 용하여 P - 배 럴과 K - 배 렬을 비 트별로 XOR 한다. 실례 
로 최대길 이열쇠 (14 개의 32 -bit 단어들)들에 대 하여 다음식 이 성 립한다. 

Pi = P l ® K l , P 2 =P 2 ® 포2,…，戶 14 = 戶14 ® 尺14, 거5 =P 15 ® 尺1，…戶 18 = 戶 18 ® 尺 4. 

3. 현재의 P , s - 배럴들을 리용하여 모두가 0인 64 -bit 블로크를 암호화하고 다와 P 2 
을 암호화의 출력으로 교체한다. 

4. 현재의 P - 배렬， S - 배 럴들을 리용하여 단계 3의 출력을 암호화하고 그 결과에서 
的과 리을 교체 한다. 

5. 이 처리를 련속적으로 변하는 Blowfish 알고리듬의 출력을 매단에서 리용하여 P 
의 모든 원소들과 그다음 S 의 모든 원소들이 모두 갱신될 때까지 계속한다. 그 
것을 종합하면 다음과 갈다. 

다， P 2 =E P ， S [0] 

P 3 ，P 4 ^[ P . WP ^ 

戶17’ 戶18 = Ep，sl7)l5 " 戶16] 

5， 1,0> 5， 1,1 =E P，S[ P 17 ᅵ1차 8] 

^4,254， "4,255 = E P,S [^4,252 ^ $4,253 ] 
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여 기서 E PS [ Y ] 는 배 렬 P 와 S 의 Blowfish 를 리용하여 구를 암호화할 때 생성된 암 
호문이다. 

Blowfish 알고리 듬은 모두 521회 의 실 행 으로 S - 배 렬 과 P - 배 렬 을 생 성 한다. 따라서 
이 방법은 비밀열쇠를 주기적으로 바꾸는 응용에 대해서는 적당하지 못하다. 게다가 P - 
배렬과 S - 배렬들은 열쇠생성에서 매번 리용되므로 기억되여야 한다. 이것은 4 KB 의 기 
억용량을 요구한다. 때문에 Blowfish 는 스마트 ( smart ) 카드와 같은 제한된 기억기를 가 
지는 응용에 대해서는 적용되지 못한다. 

암호화와 복호화 

Blowfish 는 두개의 원시연산들을 리용한다: 

• 더 하기 : +로 표시 되는 단어들의 더 하기 는 mod 2 3 로 수행된다. 

• 배 타적론러합: 이 연산은 ® 로 표시된다. 

이 두가지 연산에서 중요한것은 그것들이 교체되지 않는다는것이다. 이것은 암호분 
석을 보다 어렵게 한다. 

그림 4-9 의 자 은 암호화연산을 보여 준다. 평 문은 두개의 32 -bit 쌍 LE 0 과 RE 0 으로 



1 ) 암호화 


니 복호화 


그림 4-9. Blowfish 의 암호화와 복호화 
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나누어 진다. i 번째 단이 수행된후 자료를 왼쪽과 오른쪽으로 절반씩 나누는데 LE , ■와 
RI ᄀ 변수들을 리용한다. 

알고리듬은 다음과 같은 가상부호로 정의된다. 


for i=l to 16 do 

RE ; =LE ^© P ,- : 

LE ,'= F [ RE ,']® RE "; 

le 17 = re 16 ® p 18 ; 
re 17 = le 16 ©p 17 ; 

결과 암호문은 두개의 변수 LE 17 과 RE 17 에 포함된다. 함수 표를 그림 4-10 에 보여 
주었다. 표에 대한 32 bit 입력은 4 byte 들로 나뉘여 진다. 이 바이트들을 a , b , c , d 라고 
표시하면 함수 표는 다음과 같이 정의된다. 

F [ a , b , c , d ] = (( S la + S 2 , b ) 田 S 3c ) + S 4 ， d 

이렇게 매단에서는 mod 2 32 와 XOR , S - 통에 의한 전치가 다 리용된다. 


L i'-i R i-i 

p,- — 
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그림 4-10. 하나의 Blowfish 단의 세부 









그림 4-9 의 l 에서 보는바와 같이 복호화는 암호화알고리 듬으로부터 쉽게 얻어 진다. 
복호화인 경 우 64bit 의 암호문은 초기 두개 의 한단어변수들인 LD 0 과 RD 0 에 보관된 다. 
변수 LD, ■와 RD, 를 리 용하여 /번째 단후에 자료의 왼쪽과 오른쪽 절 반을 표시한다. 대 부 
분의 블로크암호들과 마찬가지 로 Blowfish 복호화도 부분열쇠 들을 거 물순서 로 리 용한다. 
그러 나 다른 블로크암호들과 달리 Blowfish 복호화는 암호화와 같은 알고리듬방향으로 
진행한다. 그 알고리듬은 다음과 같이 정의된다. 

for i=l to 16 do 

RD ，- =LD®P 19 _ ( - ; 

LD i = F [ RD i ]® RD i _ 1 : 

ld 17 =rd 16 ®p i ; 

RD yj =LDi6 ©P 2 > 


론의 

Blowfish 는 아마도 이 책에서 서술한것들중에서 가장 강한 전통암호알고리듬일것이 
다. DES 와 달리 Blowfish 의 S- 통들은 열쇠의 존형 이 다. 그러 나 RC5 와 같은 다른 일부 
알고리듬들은 매단에서 수행되는 함수들중 하나가 자료에 의존하도록 설계되였다 (RC5 인 
경우에는 회전). 그러나 Blowfish 인 경우에는 부분열쇠들과 S- 통들이 Blowfish 자체의 
반복처 리 에 의하여 생성된다. 이것은 비트들을 전혀 리해할수 없도록 하며 암호분석을 
불가능하게 한다. 지금까지 Blowfish 에 대한 몇가지 분석법들이 제안되였는데 실천적인 
약점들은 발견되지 않았다. 

Blowfish 의 또 다른 흥미 있는 측면은 연산들이 고전페 이 스텔 (Feistel) 암호와 같이 
매 단에서 자료의 절반에 대 한 연산을 수행 하는것 이 아니 라 자료의 두개의 절반부분들에 
서 진행 한다는것 이 다. 이것은 더 하기연산이 선형 (XOR) 이 라고 해도 더 큰 암호강도를 
제 공한다. 이 에 대 해 문헌 [HEYS95] 에서는 대 입치환망 (SPN) 의 매 단에서 선형 변환을 포 
함하는것 은 블로크암호의 사태특성 을 더 높인다는것 이 지적되 였다(저 자는 Blowfish 에 
대 하여 서 는 고찰하지 못하고 일 반적 으로 SNP 들을 해 석하였 다) . 힘 내 기 공격 법애 대 하여 
Blowfish 는 실제상 448bit 만큼 긴 적당한 열쇠길이선택으로 해서 약하지 않다. 

Blowfish 는 또한 실행 이 매 우 빠르다. 슈나이 어가 제시한 표 4-3 은 C 언어 로 작성 
한 여러 암호프로그람들의 박자수를 펜리움급에서 비교하였다. 확실히 Blowfish 는 고속 
이였다. 


표 4-3. _펜리움에서 블로크암호들의 속도비 교 


알고리듬 

단당 박자 
주기 

단의 # 

암호화된 바이트당 박자주기의 # 

Blowfish 

9 

16 

18 

RC5 

12 

16 

23 

DES 

18 

16 

45 

IDEA 

50 

8 

50 

3 중 DES 

18 

48 

108 


111 





문헌 [ SCHN 93] 에서 슈나이 어는 Blowfish 를 보다 세 부화한 흥미 있는 설계 지 침을 
제 시하였 다. 그 지 침 들중 특히 강조할것 은 다음과 갈은것 들이 다. 

1. 힘 내 기공격은 부분열쇠생성 처 리시간으로 하여 아주 어 렵 다. 하나의 열쇠검사에 요 
구되는 암호화알고리듬의 총 실행시간은 522이다. 

2. 함수 표는 Blowfish 로 하여 금 페 이 스텔 ( Feistel ) 망에 대 하여 아주 훌륭한 련쇄 효 
과를 나타내도록 한다. 즉 ?•번째 단에서 L , 니의 모든 비트들은 R , 니의 모든 비트 
들에 영 향을 준다. 그리 고 매 부분열쇠비 트들은 모든 열쇠비 트들에서 영 향을 받게 
되며 따라서 F 는 매 단이 수행된후 열쇠 ( P ,.) 와 자료의 오른쪽 절반 ( R ,.) 사이에 완 
전한 련쇄효과를 나타낸 다. 

3. 표의 매 입력비트들은 하나의 S - 통의 입력으로서만 리용된다. 반대로 DES 에서는 
많은 비트들이 두개의 S - 통들에 대 한 입 력 으로 리용되 는데 이것은 차분공격 법 에 
대항하여 알고리듬을 보다 강하게 한다. 슈나이어는 이러한 부가된 복잡성이 열쇠 
의존 S - 통들에 대해서는 필요 없다고 보고 있다. 

4. CAST 와 달리 Blowfish 의 F 함수는 단수의존형 이 아니 다. 슈나이 어는 P - 배 렬대 입 
이 단수에 의존한다면 그러한 의존성은 어떠 한 암호학적인 우점도 주지 못한다고 
보고 있다. 


4.4 RC5 

RC 5 는 론 리 베 스트 (Ron Rivest ) (문헌 [ RIVE 94， RIVE 95]) 에 의 하여 개 발된 대 칭 
블로크암호알고리 듬이 다. 

RC 5 는 다음과 같은 특성을 가지도록 설계되였다. 

• 하드웨 어 나 쏘프트웨어 에 대 한 적 합성 : RC 5 는 극소형처 리 기들에서 공통으로 
쓰이는 기초연산들만을 리용한다. 

• 고속성 : 이 를 위하여 RC 5 는 알고리 듬이 간단하며 대 상지 향적 이 다. 다시 말하여 
기 초연산들은 한번에 처 리할수 있는 자료단위 로 단어 를 설 정하였 다. 

• 서로 다른 단어길이들에 대한 처 러소자들의 적응성 : 단어의 비트개수는 RC 5 의 
파라메터 이 다. 즉 서로 다른 단어길이들이 서로 다른 알고리듬들을 내놓는다. 

• 가변인 단수: 단수는 RC 5 의 두번째 파라메터 이 다. 이 파라메터 는 고속성 과 높 
은 안전성을 담보한다. 

• 가변길 이열쇠 : 열쇠길 이 는 RC 5 의 세번째 파라메터 이 다. 이것은 속도와 안전 
성측면을 높이도록 한다. 

• 단순성 : RC 5 의 단순구조는 도구작성을 실행하기 쉽고 알고리듬의 강도고찰을 
간단하게 한다. 

• 저기억요구: 이것은 RC 5 가 스마트카드들이 나 기 억기가 제한된 다른 장치들에 
적용될수 있도록 한다. 

• 강한 보안: RC 5 는 편리한 파라메터 들의 설정 으로 하여 강한 보안을 보장한다. 

• 자료의존회전: RC 5 는 전체적으로 자료에 의존하는 회전들을(순환 비트밀기) 
섞어 구성되였다. 이것은 암호분석에 대항하여 알고리듬의 강도를 높이도록 
한다. 
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RC5 는 BSAFE, JSAFE 와 S/MAIL 을 비 롯하여 RSA 자료보 안회 사 (RSA Data 
Security, Inc.) 의 주요제품들에 적용되였다. 


RC 5 의 과라메터 


RC5 에 는 다음과 같은 3 개 의 파라메터 들이 있 다. 


파라메 터 

정의 

허용값 

W 

단어 의 비 트크기 . RC5 는 2 단어블로크들 
을 암호화한다 . 

16, 32, 64 

r 

단의 개수 

0, 1,…，255 

b 

비밀열쇠 K 의 8bit 바이트 ( 옥테드)들의 
개수 

0 ， 1, *•*, 255 


이처럼 RC5 는 32, 64 혹은 128bit 길이의 평문블로크들을 같은 길이의 암호문블로크 
들로 암호화한다. 열쇠길 이 는 0 〜 2040bit 길 이 범위 에 놓인다. RC5 의 개 별적변종들은 
RC5_w/r 八로 표시된다. 실례로 RC5-32/12/16 은 암호화와 복호화에 32-bit 탄어 _;(64- 
bit 평문과 암호문블로크들), 12 단， 16byte 의 열쇠길이 (128bit) 를 가진다. 리베스트 
(Rivest) 는 표준판으로서 RC5-32/12/16 을 제 기하였 다. 

열쇠확장 

RC5 는 비 밀 열쇠 에 대 한 연산들의 복합모임 을 실행하여 총 f 개 의 부분열쇠 들을 생 성 
한다. 매 단에 서 리용되 는 두개 의 부분열 쇠 들은 어 느 단에 도 속하지 않는 더 하기연산에 
리용된다. 따라서 는 2 r +2 로 된다. 매 부분열쇠들은 길이가 한 단어 ( wbit ) 이다. 

그림 4-11 에 부분열 쇠 들을 생 성하는 방법 을 보여 주었 다. 부분열 쇠 들은 S [0], 
S [ l ], S [ f -1] 로 표식된 f 개의 단어배렬로 분류된다. 입력으로서 파라메터 r , 씨를 

리용하여 이 배렬을 어떤 고정된 우연비트패턴으로 초기화한다. 그다음 열쇠 K [0 ••구 一 1] 
은 C 단어 배 렬 L [0 ".c — 1] 로 변환된다. 작은 말단기 에서 는 배 렬 L 을 0으로 초기 화하고 
문자렬 K 를 직 접 L 에 의해 지 적된 기 억기위치 에 복사한다. 만일 6가 w 의 옹근수배 가 
아니면 L 의 오른쪽 끝자리들에는 0을 채운다. 마지막으로 L 의 내용들을 S 의 초기화된 
값에 적 응시 키 는 혼합연산을 진행하여 배 렬 은에 대 한 마지 막값을 생 성한다. 

이 연산을 보다 세부적으로 고찰하자. 

초기 화연산에서 는 다음과 같이 정의되는 두개의 단어길 이 상수들을 리 용한다 . 

P w =Odd[(e-2)2 w ] 

Q w =Odd [( 必 - 1)2 W ] 
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초기화 



|KP]|K[l]|Kr211Kpi1 . . 



K[b-1]^ 


rcFin 


I SP3] | S[l] ~| . . . | S[t-1] I 


바이트 


단어 


단어 


그림 4-11. RC 5 열쇠전개 


여기서 


e =2. 718281828459•••(자연로그의 밑수 ) 

必 =1. 618033988749- • • (황금 비 3 M 느낸 ■) 

2 

이 다(황금비는 수학에서 자주 쓰이는 수이 다. 또한 고만큼 물리 학분야에서 중요한 역 할 
을 하는 수는 없는데 고대 그리 스의 수학자들은 우와 갈은 수를 신비한 특징 을 가진것 으 
로 보고 신비한 비 라고 불렀다) . 

이 OddM 는 x 에 가장 가까운 홀수나가 짝수이면 비록 여기서는 생기지 않지만 ; c 우 
토의 둥그리기로 된다.)이다. 실례로 Odd [ e ]=3 이고 Odd [必]=1 이다. 

씨의 가능한 값들을 리용한 상수 (16 진수)들은 다음과 같다. 


w 

16 

32 

64 

Pw 

Qw 

B 7 E 1 

9 E 37 

B 7 E 15163 

9 E 3779 B 9 

B 7 E 151628 AED 2 A 6 B 

9 E 3779 B 97 F 4 A 7 C 15 


이 두개의 상수들을 리용하여 배렬 S 는 다음과 같이 초기화된다. 
S [0]= P w ; 

For i=l to t-1 do 

S [/]= S [/-1]+ Q W ； 
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여기서 더하기는 mod 2 W 에 관하여 진행된다. 그때 초기화된 배렬 S 는 부분열쇠들 
의 마지막배 렬 S 를 생성 하기 위 하여 배 렬 L 과 혼합된다. 이 과정은 다음과 같다. 

i = j =X=Y=Q 
do 3 xmaxG , c ) times : 

多 [/] — (S [ i ] - f ^+ F )«<3； X=Sli }；!=(/ + l ) modG ) % 

L 明 =( I ^_]+ X + y )«<( X + y ); K-L 處^ j = (/+ Dmod ( c ) : 

리베 스트는 문헌 [ RIVE 94] 에 서 열 쇠확장함수는 한방향성 을 가진 다는것 을 밝혔다. 
즉 S 로부터 K 를 얻는것은 그리 쉽지 않다. 

암호화 

RC 5 는 3개의 기초연산(과 그의 거끌)들을 리용한다. 

• 더하기 : +로 표시되는 단어들의 더하기는 mod 『에 관하여 진행된다. 거끌연 
산은 一로 표시되고 역시 mod 2 W 에 관하여 진행된다. 

• 비트별 배 타적- OR : 이 연산은 ©토 표시된다. 

• 왼쪽순환회 전 : 단어 义의 y 에 의한 왼쪽순환밀 기 는 ; c <« y 로 표시 된 다. 거 끌은 
단어 ; c 의 y 에 의한 오른쪽순환밀 기 로서 ; c >>>： y 로 표시 된 다. 

그림 4-12 의 1은 암호화연산을 보여 준다. 그림을 보고 알수 있는것처럼 이것은 고 
전페 이 스텔 ( Feistal ) 구조가 아니 다. 평 문은 처 음 두개 의 w - bit 등록기 A , 묘로 나 뉘 여 진 
다. 여 기서 /번째 단이 수행된후 자료를 왼쪽과 오른쪽으로 각각 절반씩 나누는데 변수 
LE ,_ 와 RE ,. 에 들어 간다. 알고리 듬은 다음과 같은 가상부호에 의하여 정 의된다. 


LE 0 = A + S [0]; 

REo=B + S[l||Hi 

for i =1 to r do 

LE ,' = (( LE©RE M :| 성讀:: < RE 卜! ) + SI 2 X i 
RE ,+ = (( RE©LE ) < 今客 LE ，- ) + S [2 X / +幻 5 

결과의 암호문은 두개의 변수 LE 、 와 RE 、 들에 포함된다. r 개의 단들은 두개 단어 
의 자료를 리용하는 대입 및 치환열쇠에 의존하는 대입으로 이루어 진다. 연산은 아주 
간단하며 5개 행의 부호로 정의된다. 또한 자료의 개개 절반부분들은 매단에서 갱신된다. 
따라서 RC 5 의 한개 단은 DES 의 두개 단과 부분적 으로 류사하다. 

복호화 

그림 4-12 의 u 에서 보여 주는것처 럼 복호화는 암호화알고리듬으로부터 쉽게 얻어 
진다. 이 경우 2 wbit 의 암호문은 처음 두개의 한단어변수들인 LI 가와 1犯게 갈라 들어 
간다. 
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평문 (2vrbit) 




평문 (2w bit) 



v-) 복호화 


그림 4-12. RC 5 의 암호화 및 복호화 


변수 LI 가와 RD , 는 i •번째 단이 시작하기전의 자료의 왼쪽과 오른쪽 절반부분을 나 
타낸다. 여 기서 단들은 r 번째 단으로부터 첫번째 단으로 내 려 가며 번호를 달았다. 


for i = r down to 1 do 

RD ᅬ »•( (RD 一 S [2X，• +1 J>> >LD) ©LD ；); 

LD 니 = ((LD I .-S[2Xi]> >>RD ，니 ) ©RD 니 ) : 

B = RDo-S[l ]； 

A = LD 0 -S[0 ]； 

RC5 의 가장 중요한 두가지 측면은 알고리듬의 단순성과 자료의존회전의 리용이다. 
회 전은 알고리 듬의 비 선형부분이 다. 리베 스트는 회 전들이 비 선형적 으로 자료값들에 의 존 
하므로 선형 및 차분암호분석을 어렵게 한다고 보았다. 많은 연구자들이 이 주장을 확인 
하였 다 (문헌 [YIN97]). 
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RC 5 방식 

필 요에 따라 RC 5 의 효과성 을 높이 기 위하여 RFC 2040[ BALD 96] 은 4개 의 서 로 다 
른 조작방식 들을 정 의하였 다. 

• RC5 블로크암호 : 이것은 고정된 크기의 입력블로크 (2 wbit 들)를 가지고 열쇠에 
의존하는 변환을 리 용하여 같은 길 이의 암호문블로크를 생성하는 암호화알고리 
듬이 다. 이것은 흔히 전자부호책 (Electronic Code Book ： ECB ) 방식 이라고도 
한다. 

• RC5-CBC ： 이것은 RC 5 에 대한 암호블로크련쇄방식이다. CBC (암호블로크련쇄 
방식 : cipher block chaining mode ) 는 3 장에서 론의 하였다(그림 3-12 를 보시 
오) . CBC 는 RC 5 블로크크기 의 배 수길 이 (2 w bit 의 배 수)의 통보들을 처 리한다. 

3장에 서 보여 준것 처 럼 CBC 는 평문에 대 하여 반복블로크들이 서 로 다른 암호 
블로크들을 생 성하기 때 문에 ECB 보다 강하다. 

• RC5-CBC-Pad ： 이것은 임의의 길 이의 평 문을 처 리 하는 CBC 형 식의 알고리 듬 
이다. 암호문은 평문보다 기껏해서 하나의 RC 5 블로크크기만큼 길어 진다. 

• RC5-CTS ： 이것은 CBC 암호형식으로 된 암호문강화방식인데 역시 CBC 형의 알 
고리듬이 다. 이 방식은 임의의 길 이의 평문을 처 리하여 같은 길 이의 암호문을 
생 성 한다. 

우의 방식 들에 서 마지 막 두개 의 방식 을 좀 더 구체 적 으로 설 명하면 다음과 갈다. 

CBC 방식으로써 통보문을 암호문으로 바물 때 어떤 경우에는 통보문의 길이가 블로 
크길 이의 배수가 아닌 경우도 있다. 이것을 처 리 하기 위한 가장 단순한 방법 은 메꾸기 
( padding ) 를 리 용하는것 이 다. RC 5 에 서 는 통보문이 옹근수배 바이 트이라고 가정 하였 다. 
통보문의 끝에 1부터 해개까지의 바이트메꾸기가 추가된다. 여기서 해는 RC 5 에서 바이 
트별로 측정한 블로크의 크기 이 다(抑 = 2 w /8). 메 꾸기바이 트들은 모두 갈으며 메꾸기바 
이트수를 나타내는 바이트로 설정된다. 실례로 8개 바이트의 메꾸기가 있다면 매 바이트 
는 비트패런 00001000을 가진다. 

메 꾸기 는 언제 나 쓰는것 이 아니 다. 실례 로 처 음에 평문이 들어 있던 기 억완충기 에 
암호화된 자료를 보관하려고 하는 경우도 있다. 이 경우 암호문은 평문과 같은 길이여야 
한다. RC 5- CTS 방식은 이러한 기능을 제공한다(그림 4-13). 평문의 마지막블로크의 길 
이가 Lbyte 라고 하자. 여기서 L <2 w /8 이다. 암호화과정은 다음과 같다 ( RFX ：.2040 에서 
서술한것은 부정확하지만 여기서 쓴것은 정확하다). 

1. CBC 기술을 리용하여 첫 ( A 卜 2) 개의 블로크들을 암호화한다. 

2. 구서니을 생성하기 위하여 이전 암호문블로크 C w _ 2 과 Pwd 를 배 타적론리 합한다. 

3. 구사니를 암호화하여 E n _^ 엄는다. 

4. C w 을 생성하기 위하여 의 첫 L 개 바이트를 선택한다. 

5. 모사 의 끝에 평으로써 메꾸기하고 과 배 타적론리 합하여 을 얻는다. 

6. Y w 을 암호화하여 를 창조한다. 


암호문의 마지막 두개의 블로크들은 (:^니와 이다. 
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그림 4-13. RC 5 암호문강화방식 


4.5 CAST-128 

CAST 는 카 르 리 슬 아 담 스 (Carlisle Adams ) 와 스 태 포 드 타 바 레 스 (Stafford 
Tavares ) 가 개 발한 대 칭 블로크암호화알고러 듬의 설 계 방식 이 다 (문헌 [ ADAM 97 a ]). 이 
절 에서는 CATS -128 이 라고 부르는 RFC 2144 에서 정의된 (문헌 [ ADAM 97 b ]) 알고리 듬을 
설명한다. CAST 는 8 bit 씩 증가하는 40 bit 로부터 128 bit 까지의 가변열쇠를 리용한다. 

CAST 는 16단으로 되 여 있으며 64- bit 블로크의 평 문을 처 리 하여 64- bit 블로크의 암 
호문을 생 성하는데 고전페 이 스텔 ( Feistel ) 구조로 되 여 있 다. 그림 3-5 와의 차이 점 은 
CAST 가 매단에서 두개의 부분열쇠들 즉 32 -bit Km , •와 5 -bit Kr , •를 리용한다는것과 
함수 표가 매 단에 의존한다는 점 이 다. 

CAST 는 오랜 연구과정에 개발되였으므로 암호학적으로 확정된 연구결과이다. 이것 
은 PGP 를 비롯하여 많은 제품들에서 리용되기 시작하였다. 

여기서는 암호화알고리듬의 세부를 먼저 설명하고 그다음 부분열쇠생성과정을 설명 
한다. 

CAST -128 암호화 

CAST -128 은 4개 의 원시연산들을 리 용한다. 

• 더하기와 덜기 : 단어들의 더하기는 mod 2 32 로 진행되며 +토 표기한다. 거물연 
산도 mod 2 32 에서 진행되며 一로 표기한다. 

• 비트별 배 타적론러합: 이 연산은 ©토 표기한다. 

• 왼쪽순환밀기: : y 에 의한 단어 의 왼쪽순환밀기는 ; c <<<; y 로 표기한다. 

CAST -128 암호알고리 듬은 다음과 같은 가상부호로 정 의된다. 평문을 두개 의 32 bit 
크기인 Lo 과 Ro 으로 나눈다. * •번째 단이 완전히 수행된후의 자료는 왼쪽과 오른쪽 절반 
씩 갈라 변수 I ᄀ 와 에 보관한다. 암호문은 16번째 단의 출력 을 엇 바꾸어 구성한다. 
즉 R 16 과 L 16 의 련결이 다. 
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L 0 | | R 0 =Plaintext 

For i = l to 16 do 

L i =r m : 

[ R m , km ；, Kr ; ] ； 

Ciphertext = R 16 | | L 16 

복호화는 암호화와 갈으며 다만 열쇠들을 거끌순서로 리용한다. 

그림 4-14 에 한개 단의 세부를 보여 준다. F 함수는 4개의 8 X 32 S - 통들과 왼쪽순환 
밀 기함수 그리 고 fl 卜 f 2 { , f ', f 식 와 같이 단의 번호에 따라 변하는 4개 함수들을 포 
함한다. 왼쪽순환밀 기 함수후의 32- bit 중간값을 참조하기 위하여 I 를 리 용하는데 I 는 la , 
lb , Ic , Id 로 표시된다. 여기서 la 가 제일 웃자리이고 Id 가 제일 아래자리이다. 이와 같 
이 CAST -128 의 매 단 함수구조가 Blowfish 보다 간단하다. 

표에 대한 정의는 다음과 갈다. 


1,4,7,10,13,16단 

I =(( Km I .+ R M X << Kr i .) 

F = ((SI [ la ] © S 2 [ lb ]) - S 3 [ Ic ]) + S 4 [ Id ] 

2,5,8,11,14단 

1= (( Km ; © R i _ 1 )<<< Kr I ) 

F = ((SI [ la ] - S 2 [ lb 그 ) + S 3 [ Ic ]) ® S 4 [ Id ] 

3,6,9,12,15단 

I =(( Km i .- R ,._ 1 )<<< Kr i .) 

F = ((SI [ la ] + S 2 [ lb ]) © S 3 [ Ic ])- S 4 [ Id ] 



그림 4-14. 하나의 CAST -128 단의 세부 
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대입틍 

CAST-128 은 8 개의 8X32 S- 통들을 리용한다. 그중 4 개 즉 S- 통 1 로부터 S- 통 4 까지 
는 암호화와 복호화처리에서 리용된다. 나머지 4 개 즉 S- 통 5 부터 S- 통 8 까지는 부분열쇠 
생성에 리용된다. 매개 S- 통은 32 개의 렬들로 된 배럴인데 256 개의 행들을 가진다. 8- 
bit 입 력은 행 렬의 행을 선택 하는데 그 행의 32-bit 값이 출력 이다. 

모든 S- 통들은 고정 된 값을 가지 고 있다. S- 통설 계 자들은 고차의 비 선형 성 을 가 
지 도록 하기 위하여 3 장에 서 와 부록 3A 에 서 서 술한 굴곡함수 (bent function) 를 리 용 
하였다. 


부분열쇠생성 

부분열쇠생성은 복잡하다. 128-bit 열쇠를 바이트별로 표식하기 위하여 다음과 같이 
한다. 

x0xlx2x3x4x5x6x7x8x9xAxBxCxDxExF 


여 기서 xO 이 제 일 웃자리 바이트이 고 xF 는 제 일 아래 자리바이 트이다. 
다음과 같은 기 호들을 정 의한다. 


Knu ， … ， Km 16 16 개의 32-bit 회전부분열쇠들(매단당 한개) 


Kri,---, Kr 16 

zO.. .zF 
K1. K32 


16 개 의 32-bit 회 전부분열 쇠 (매 단당 한개 ) 들로써 매 개 의 제 일 
아래자리 5 개 비트들만을 리용한다. 

중간 (림 시) 바이트들 
중간 (림 시) 32-bit 단어들 


그림 4-15 에 S- 통 5 부터 S- 통 8 까지 를 리용하여 값 부터 K 32 까지 가 열 쇠 로부터 어 

떻게 계산되는가를 보여 주었다. 

이때 부분열쇠들은 다음과 같이 정의된다. 


for / =1 to 16 do 
K n ’ = ^\6+i > 


론의 

CAST-128 에는 몇가지 주목할만한 특징들이 있다. 첫째로， CAST 는 고정된 S- 통들 
을 리용한다. CAST 설계자들은 고정된 S- 통을 좋은 비선형특성을 가지고 열쇠에 의존하 
도록 한다면 S- 통들을 우연화할수 있다고 보았다. CAST 를 리용한 실례를 [ADAM97a] 
에서 서 술하였으며 보다 자세 히 는 [MIST96] 에서 론의하였 다. 여 기서 는 그에 대 하여 구 
체적으로 보지 않고 다음과 같은 수속만을 소개한다. 길이가 256 인 32 개의 서로 다른 2 
진굴곡백토르를 선택한다. 매 행벡토르는 어떤 주어 진 입력에 대하여 하나의 출력값을 
나타낸다. 벡토르들은 그 합이 비선형적 이며 (mod 2 로써) 좋은 사태특성을 가지도록 선 
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택되였다. 이 처리에는 한번에 하나의 렬선택과 선택된 렬들의 모임에 대한 검사 그리고 
또 다른 선택을 하거나 또는 다음 렬로 이행하는것들이 포함된다. 

CAST -128 에 서 리 용한 부분열 쇠 생 성 처 리 는 대 칭 블로크암호들에 서 리 용한것 과 다르다. 
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그림 4-15. CAST -128 부분열쇠생성 
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CAST 설 계 자들은 가능한껏 암호분석 을 막는데 중심 을 두고 이 강도보장을 위하여 비 선 
형성이 강한 S- 통들을 리용하였다고 보아 진다. 앞에서도 이러한 목적을 지향한 방법들 
을 보았다. 실례로 Blowfish 는 부분열쇠생성에 자기자체의 암호화알고리듬을 리용한다. 
RC5 는 가변길이의 회전들과 mod 2토의 더 하기를 포함하는 연산들의 복합모임 으로서 얻 
어 지는 준우연초기화렬을 리용한다. 

이 방법들중 어느것이 우월한가는 가늠하기 어렵다. 그러나 그것들은 어느것 이나 
DES 에서 리용한 간단한 대 입-치환형식보다는 암호강도를 더 크게 한다고 볼수 있다. 

함수 묘는 좋은 혼란，확산，련쇄특성을 가지도록 설계되였다. 표는 S- 통， mod 2더 
하기 및 덜기，배타적론리연산，열쇠에 의존하는 밀기를 리용한다. F 함수의 강도는 초 
시 기 S- 통의 강도에 의 존하였지 만 앞으로는 이 산수적인 방법 들의 리 용에 의 존할것 이 다. 
론리연산자와 순환연산자들은 강도를 더 높인다. 단의 번호에 따르는 표의 의존성은 증 
명되지는 않았지만 강도를 더 높게 할것이다. 


4.6 RC2 

RC2 는 론 리 베 스트 (Ron Rivest) [RIVE97] 에 의 하여 개 발된 대 칭 블로크암호이 다. 
RC2 은 64bit 길 이 의 암호문과 평 문블로크를 리 용하여 8bit 부터 1024bit 까지 에 서 변 하는 
가변적 인 열쇠크기를 가진다. 알고리 듬은 그것 이 설계된 시대를 반영하여 16-bit 극소형 
처리기들에서 쉽게 실현할수 있도륵 설계되였다. RC2 는 40，64， 128-bit 열쇠크기를 가 
지며 S/MIME 에서 리용된다. 

열쇠확장 

RC5 는 바이 트의 부분열쇠 들을 생 성하며 비 밀 열쇠 들에 대 하여 연산들을 진행한다. 
부분열쇠들은 L[0], L[ll, •••, L[127]byte 배렬에 보관된다. 일부 연산들에서 16-bit 단 
어배렬 K[0], K[l] ，…， K[63] 과 갈은 부분열쇠들을 참조하는것이 편리하다. 

T byte 의 열쇠가 제공된다고 하자. 여기서 1CT<128 이 다. 열쇠생성은 열쇠의 T 
개 바이트들을 L[0], …， L[T]byte 들에 넣는것으로부터 시작한다. 그다음 L 배럴은 임 
의의 준우연바이트들의 보조배렬 P[0], P[l], …， P[255] 를 리용하여 계산되는데 이 배 
렬 은 7T 값에 따른다 . 계 산과정 은 다음과 같다 . 


for i=T to 127 do Aset L[T]through L[127 ]*/ 

L[i ] = P[L[/ — 1] + L [ / — T]]; 

L[128 - 刊 =P[L[128 - 刊 

for i =127 —T down to 0 do Aset L[0] through L[127—T]*/ 

L [/]= P[L[/41]©L[/] + 713 j . 

일반적으로 첫 단은 이전 부분열쇠바이트와 뒤에 있는 부분열쇠바이트의 r 개의 위 치 
들에서의 합에 대한 첫 r 개 바이트다음의 매개 확장된 부분열쇠바이트를 설정한다. 두 
번째 단은 다음부분열쇠바이트와 앞에 있는 부분열쇠바이트의 7깨의 위치들에서 XOR 에 
대 하여 마지 막 r 개 바이 트들을 제 외 한 매 개 부분열쇠 바이 트를 설정 한다. 
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암호화 

RC 2 는 다음과 같은 원시연산들을 리 용한다: 


• 더 하기 : 단어단위 의 더 하기 로서 +로 표시 되 며 mod 2 32 의 더 하기 를 진행 한다. 
거물연산은 一로 표시되며 역시 mod 2 32 의 덜기 이 다. 

• 비트별 배타적론러합: 이 연산은 ©토 표시된다. 

• 비트별 보수: 이 연산은 〜로 표시된다. 

• 비트별 AND ： 이 연산은 &로 표시된다. 

• 왼쪽순환밀 기 : y bit 들에 의 한 단어 의 왼쪽순환밀 기 는 섬 # <y 로 표시 한다. 

이 책 에서 서술한 다른 대 칭블로크암호들과 달리 RC 2 는 고전페 이스텔 ( Feistel ) 구조 
를 리용하지 않는다. 이것으로 해서 다른 알고리듬들과 비교하기 어렵 다. 

암호알고리듬은 16- bit 단어 R [0]， R [1]， RK ], R [3] 들에 보관된 64- bit 입력를 가지며 
그 결과들을 R [이부터 R [3] 에 다시 넣는다. 알고리듬은 혼합과 가름이라는 두 가지 형 
태로 된 총 18개 단으로 구성되여 있다. 혼합단 (mixing round ) 은 다음과 같다. 


R [0] — R [03 + K [/] 千 ( R 囚1 技 R [2]) + ((~ R [3] & R [1]) : 

R [0]= R [0 j : i << l ; 

7=7+1； 

R [1] =R [13 +K [| + (R [0] &R [3] (〜 R [0] &R [2]) : 

R [1]= R [1_<<2; 

7=7+1； 

R [幻 = R [23 +K 며 + (R m &R 的效 | 必 (~R [1] &R 陳):-； 

R [2]= R [2|%<< S ； 

J=J+2 ： 

R [3] - R [3] +K 明 牛 (R 段 I &R [1]) + ((~R [幻 &R 的] ); 

R [3]- R [3] <<<§；, 

7=7+3； 

이 식 에서 K 明는 아직 리용되지 않은 첫번째 부분열쇠단어 이 다. 

이 연산을 다음과 같이 설명할수 있 다. 매 단어 R [/] 에 대 하여 다음부분열쇠단어 
K 明는 R [/] 에 더해 진다. 그다음 요에 대한 첨수가 mod 3인 R [;- l ] 은 R [/] 에 추가 
되 는 합성단어 를 창조하는데 리 용된다. 합성단어 는 R [/- l ] 이 1인 비 트자리 들에 서 
R [/-2] 의 비트들과 R [/- l ] 이 0인 비트자리들에 놓인 R [/-3] 의 비트들로 구성된다. 
그다음 R [/] 를 왼쪽순환밀 기하며 ) 를 증가시 킨다. 

가르기단 (mashing round ) 은 다음과 같다. 


R [0]= R [0]+ K [ R [3] & 63] 
R [1]= R 0 J + K [ R [ O ] & 63] 
R [幻 = R ■■牛 K [ R [1] & 63] 
R [3]= R [3]+ K [ R [2] & 63] 
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말하자면 매 R[/] 에 대하여 부분열쇠단어는 R[Z] 에 추가된다. 부분열쇠배렬은 
R[;-l] 의 낮은 자리 6bit 들에 의하여 첨수화된다. RC2 는 이때 다음과 같이 정의된다. 
매 단계후의 값은 괄호안에 표시해 주었다. 

1. _/를 0으로 초기화한다. 

2. 5개 의 혼합단들을 수행한다 0=20). 

3. 하나의 가름단을 수행 한다. 

4. 6개 의 혼합단을 수행한다 0=44). 

5. 하나의 가름단을 수행한다. 

6. 5개 의 혼합단들을 수행한다 (/=64) . 

매 혼합단에 는 4개 의 부분열쇠단어 들을 리 용한다. 16개 의 혼합단들이 있으므로 모든 
부분열쇠들은 한번 리용된다. 그외 부분열쇠들은 가름단에 대하여 자료의존형식으로 선 
택된 다. 

복호화는 암호화의 거 끌과정 으로 진행 되 므로 매 단들과 열쇠 들은 거 끌순서 로 리 용된다. 


4.7 개선된 대칭블로크암호의 특성 

사실 모든 대 칭 블로크암호들은 많은 면에서 DES 및 기 초페 이 스텔 (Feistel) 블로크암 
호구조와 류사하다. 그것은 DES 설계에 참가한 IBM 과 NSA 가 합의했기때문이다. 그러 
나 암호분석과 고속쏘프트웨 어암호에 대 한 요구에 따라 커 다란 전진이 이 룩되 였 다. 이 
절에서는 가장 중요한 현대대 칭암호알고리 듬들에서의 그러한 성 과들에 대 하여 설명하였 
다. 이 부분에서는 그 알고리듬들에서 찾아 볼수 있는 DES 에는 없는 몇 가지 열쇠특징 
들에 대하여 강조한다. 

• 가변열쇠길이: 만일 암호알고리듬이 암호분석을 어렵게 하도록 구성되였다면 
그 강도는 열쇠길이에 의하여 결정된다. 열쇠길이가 길수록 열쇠탐색을 더 어 
렵 게 한다. Blowfish, RC5, CAST-128, RC2 는 열쇠 길 이 가 가변이다. 

• 혼합연산자: 한개이상의 산수적 및/또는 론리연산자들이 분배법칙과 결합법칙 
들을 만족시 키지 않을 때 암호분석은 복잡해 진다. 이 수법은 S- 통의 대 안으로 
서 비선형성을 제공한다. 3중 DES 를 제외하고 이 장의 모든 알고리듬들은 혼합 
연산자를 리용한다. 

• 자료-의존회전: S- 통에 대한 다른 대 안은 자료에 의존하는 순환들을 리용하는 
것이다. 충분한 수의 단들에 대하여 이것은 좋은 혼란과 확산을 제공한다. 더 
우기 순환들은 부분열쇠들이 아니 라 단들을 거 쳐 움직 이는 자료블로크들에 의 
존한다. 이것은 부분열쇠들의 회복을 더욱 어렵게 한다. RC5 는 자료-의존의 
회전들을 리용한다. 

• 열쇠-의존회전: 회전은 자료보다 오히려 열쇠에 의존하는것을 러용한다. 

• 열쇠-의존 S- 통: DES 와 CAST-128 에서와 같이 요구하는 암호학적특성들을 가 
지는 고정된 S- 통들을 설계하기보다 S- 통들의 내용들이 열쇠에 의존될수 있다. 
서 로 다른 열쇠들은 서로 다른 S- 통들을 만든다. 이 수법은 특히 더 큰 S- 통 
(실례로 8X32) 에 대 하여 고도의 비선형적 인 결과들을 주며 암호분석을 매우 
어렵게 한다. Blowfish 는 열쇠의존형 S- 통들을 리용한다. 
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• 긴열쇠알고리듬: 이것은 Blowfish 에서 리용되는 독특한 수법이다. 부분열쇠들 
의 생성은 한개의 암호화 또는 부호화보다 훨씬 더 오래 걸린다. 그 결과 전수 
람색공격의 성과가 비상히 커진다. 

• 가변 F ： 단으로부터 단으로의 이 행 에서 변하는 함수 표의 리용은 암호분석 을 
복잡하게 할수 있다. CAST -128 은 가변 표를 리용한다. 

• 가변의 평문/암호문블로크길 이 : 블로크길 이 가 길면 길수록 더 큰 암호강도를 
제공한다. 물론 단들의 수의 증가도 암호화/복호화시 간을 증대시 킨다. 단들의 
수를 가변으로 하면 사용자가 보안과 실행속도사이의 절충을 만들수 있다. 
RC 5 는 단의 수가 가변인 단들을 제공한다. 

• 매 단에 서 두개 의 반자료들에 대 한 조작: 고전페 이 스텔 ( Feistel ) 암호에 서 는 자 
료의 한개의 절반부분만이 매단에서 교체된다. 만일 간단한 조작이 교체되지 
않은 다른 절반부분에서 진행되면 보안은 실행시간에서 적게 증가할것이다. 
IDEA , Blowfish 및 RC 5 는 매 단에서 자료의 두개의 절반부분들에 적용한다. 
현재 연구의 초점 은 이 장에서 설명한 내 용들 즉 완전히 새 로운 구조를 설계하 
는것 보다 고전페 이 스텔 ( Feistel ) 암호와 DES 에 대 한 개 선을 위한 방책들을 찾 
는데 두고 있 다. 그것 은 페 이 스텔 ( Feistel ) 구조가 많이 연구되 고 있지 만 고유 
한 약점들이 발로되지 않고 있기때문이다. 


문 제 

1. DES 보다 더 강한 알고리 듬을 리 용하여 암호블로크련쇄 ( CBC ) 방식 으로 블로크암호화 
를 실현하는 장치를 만들려고 한다. 3중 DES 는 훌륭한 후보로 되지만 그것은 ECB 방 
식 에 서 만 정 의 된다. 3중 DES 을 위 한 CBC 방식 에 대 하여 규격 이 설정 되 지 않았지 만 
그림 4-16 에 두 경쟁자들을 보여 주었는데 그들모두는 CBC 의 정의에 따른다. 어느 
것 을 선택하겠는가? 

1) 보안을 위하여 ? 

L ) 실행 (속도)을 위하여? 

2. 세개의 DES 소편들과 몇개의 XOR 기능들만을 리용하여 그림 4-16 에 있는 다른 방법 
에 대한 보안향상을 제안할수 있는가? 두개의 열쇠로 제한된다고 가정하시오. 

3. 3중 DES 에 대한 머클 헬만 ( Merkle - Hellman ) 공격은 A =0( 그림 4-16) 의 값을 가정하 
는것으로부터 시 작된다. 그러면 2 56 개의 가능한 &의 매개 값들에 대 하여 A =0 을 발 
생 하는 평 문 P 가 결 정 된 다. 그 알고리 듬의 나머 지 부분을 설 명 하시 오 . 

4. IDEA 의 실행에서 제일 힘든 부분은 mod (2 16 +1)에 관한 곱하기이다. 다음의 등식 
은 효률적 인 실행을 달성할수 있는 방법 을 준다. a, 6가 령 아닌 두개의 «bit 의 옹 
근수들이라고 하면 

„ \ (ab mod 2") - (ab div 2") ab mod 2 n > ab div 2” 일 때 

ab mod {2 +1) = •{ 

[(ab mod 2 n )-(abdi\2 n ) + 2 n +1 ab mod 2" > aft div 2” 일 때 


(ab mod 2") 은 姑의 제 일 아래 자리 « bit 이 고 Cab div 2") 은 姑를 « bit 오른쪽으로 밀 
기 한것 이 다. 이 문제 의 목적 은 우의 같기 식 이 참이 라는것 을 증명하는것 이 다. 
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자) ab=q(2 n +l)+r^ 부 아닌 옹근수 상와 r 가 있다는것을 증명하시오. 
L ) 상와 r 의 웃경계와 아래경계는 무엇 인가? 

ᄃ) 상 + K 2" +1 이라는것을 증명하시오. 

e ) q 를 리용하여 (ab div 2") 에 대한 식을 유도하시오. 

n ) 요와 r 로 (ab mod 2 n ) 에 대 한 식을 유도하시오. 

«) H 과 n 의 결과들을 리용하여 r 에 대한 식을 유도하시오. 

A) r 가 이 문제의 첫 등식의 오른쪽과 같다는것을 증명하시오. 



5. IDEA 는 완전한 확산을 제공하는데 4개의 연산들을 리용한다(그림 4-3). 이것 이 요 
구되 는 최 소연산수이라는것 을 밝히 시 오. 이 를 위하여 ( Zi , Z 2 ) 의 매 선택 에 대 하여 
E (’,’, Zi ， Z 2 ) 이 비가역이도록 다음과 같은 형태의 함수를 고찰한다. 

( Y 1 , Y 2 )= E ( X 1 , X 2 , Z 1 , Z 2 ) 0< X ; , Y ; <2 m ； 0< Z t <2 k 
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만일 암호함수의 매개 출력변수들이 매 입력변수들에 의존하면 그 함수는 완전확산 
을 가진다고 말한다. 암호함수가 우의 형식과 같고 완전확산을 가지면 그 알고리듬 
이 적 어도 4개의 연산들을 포함한다는것 을 증명할수 있다. 

_ T ) 함수가 적 어도 세개의 연산들을 포함해 야 한다는것 을 밝히시 오. 

T -) E 가 정확히 세개의 연산들을 가진다는것을 가정하고 이러한 함수가 비가역일수 
없다는것을 밝히시오. 

6. ᄀ) IDEA 의 곱하기 연산에 왜 간단히 mod 2 16 대 신에 mod 2 16 +1을 리 용하는가? 
l ) IDEA 의 더하기에서는 왜 mod 2 16 +1대신에 mod 2 16 을 리용하는가? 

7. 라이 ( Lai ) 와 마쎄 이 ( Massey ) 에 의 하여 PES 라고 표시된 암호알고리 듬에 대 한 원래 
의 제 안이 IDEA 와 다른 점들은 다음과 같다. 

1. 그림 4-5 의 우의 회색통의 4개의 함수들이 IDEA 에서는 O , a 다 ◦의 순서로 있 
지만 PES 에서는 O , ©. a , 0의 순서로 있다. 

2. IDEA 에서는 매 단을 거친 다음 두번째와 세번째 블로크들이 교체된다. PES 에서 
는 매개 단을 거친 다음 첫번째와 두번째 블로크들이 세번째와 네번째 블로크들 
과 교체된다. 

두번째 변경 은 차분분석 ([ LAI 91] 을 보시 오. )에 대 한 저 항을 증가시 킨다는것 을 알수 
있다. 첫번째 변화는 암호강도에서 아무런 변화도 일으키지 못한다는것을 밝히시오. 

8. Blowfish 의 복호화가 Blowfish 의 암호화와 거물이라는것을 밝히시오. 

9. RC 5 의 복호화가 RC 5 의 암호화와 거 끌이라는것 을 밝히 시 오. 

10. RC 5- CBC - Pad 방식에서는 하나부터 해 byte 까지의 메꾸기가 있다. 왜 령바이트들의 
메꾸기가 허 락되지 않는가? 즉 암호화할 통보문이 블로크크기의 옹근수배 이면 왜 메 
꾸기 를 하지 않는가? 

11. 그림 4-17 은 평문이 블로크크기의 옹근수배가 아닐 때 평문의 길이와 갈은 암호문을 
생 성하는 RC 5- CTS 에 대 한 다른 방법 을 보여 준다. 

1) 알고리듬을 설명하시오. 

L ) 왜 RC 5- CTS 가 그림 4-17 에서 설명되는 수법에 비해 더 적합한가? 

12. RC 5- CTS 방식에서 Ch 과 C „ 을 어떻게 복호하는가? 

13. CAST -128 의 복호화가 CAST -128 의 암호화와 거 끌이 라는것 을 밝히 시 오. 




그림 4-17. RC 5 CBC 방식 에서 마지 막 짧은 블로크의 암호화방법 
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제 5 장. 전틍암호에 의한 기밀성 


력사적으로 암호학의 초점은 비밀을 보장하기 위하여 전통암호를 리용하는데 집중되 
여 왔다. 인증，완정성，수자서명，공개열쇠암호의 리용과 같은 기밀성을 위한 방법들의 
응용은 불과 수십년동안에 리론과 실천분야에 포괄되게 되였다. 

이와 같은 보다 최근의 문제들을 취급하기전에 이 장에서는 먼저 기밀성을 보장하기 
위한 전통암호의 리용에 대하여 고찰한다. 그것은 전통암호에 대한 리해가 공개열쇠암호 
의 개발에서 도움으로 되며 인증과 갈은 암호학의 다른 응용들에 포함된 여 러 개 념들을 
더 명확히 해주기때문이다. 

암호학의 위치에 대한 론의로부터 시작하자. 여기서 기본선택은 접속으로 알려 진것 
과 말단 대 말단암호사이에 있다. 다음으로 전송정보분석공격을 막기 위한 암호의 리용 
을 취급한다. 그리고 열쇠배포의 복잡한 문제와 마지막으로 기밀성편의도구를 제공하는 
데서 중요한 도구의 기초로 되고 있는 원리 (란수발생)를 론의한다. 


5.1 암호기능의 설치 

암호가 기밀성에 대한 공격을 막는데 리용되자면 우선 무엇을 암호화하고 암호기능 
을 어디에 두어야 하겠는가가 결정되여야 한다. 이 절에서는 보안공격의 가능한 위치와 
암호설치의 두가지 기본수법 즉 접속 ( Link ) 과 말단 대 말단에 대하여 보게 된다. 

기밀성에서 공격의 대상으로 될수 있는 위치 

일반 봉사기관들에서의 사용자워크스테이션을 실례로 보자. 그림 5-1 에 워크스테이 
션에서 리용될수 있는 통신수단들의 형태들과 공격 받을수 있는 위치를 주었다. 

대부분의 기관들에서 워크스테이션을 국부망 ( LAN ) 에 접속시킨다. 일반적으로 사용 
자는 다리 와 경 로조종기 로 접속된 한 건물에서 다른 LAN 혹은 자기의 LAN 우의 워크 
스테이션，가입자，봉사기에 직접적으로 망통신할수 있다. 이 경우 기본문제는 다른 직 
원 에 의한 도청 이다. 일 반적 으로 LAN 은 방송망이다. 한 국으로부터 다른 국으로의 전 
송은 모든 국들에서 LAN 의 매개물을 통해 볼수 있다. 자료는 프레임형식으로 전송되며 
매 프레 임 은 발신 인 (원 천지 ) 과 수신 인 (목적 지 ) 주소를 포함하고 있 다 . 도청 자는 LAN 에 
서의 통신을 감시할수 있으며 발신인과 수신인의 주소에 기초하여 주목하는 임의의 통신 
내용을 획득할수 있다. 

더우기 도청자는 그 건물안의 직원만이 될수 있는것이 아니다. 만일 LAN 이 LAN 
우의 통신봉사기들이나 가입자중의 하나를 통하여 전화접속 ( Dial - in ) 기능을 제공하면 침 
입 자는 그 LAN 에 접근할수 있다. 

LAN 으로부터 외부에로의 접근은 경로조종기，전화접속모뎀들의 렬 또는 다른 형태 
의 봉사기 형 식 으로 늘 가능하다. 통신봉사기 로부터 배선실 (wiring closet ) 까지 회선이 
있게 된다. 배선실은 내부자료와 전화회선을 결합시키며 외부통신을 위한 결속점을 마련 
하는 집결점으로 된다. 

배선실자체 는 공격 당하기 쉽다. 만일 침 입 자가 배선실에 침투하면 그는 자료통신에 
어느 회선이 리용되는가를 결정하기 위해 매개 회선을 도청할수 있다. 하나 또는 여러개 
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회선을 중단시킨후 침입자는 저출력라지오송신기를 설치할수 있다. 가까운 곳에서 송신 
하는 신호들을 얻어 낼수 있다(근방의 건물, 주차한 차량). 

배선실토부터 나가는 여러 경로들이 있을수 있다. 표준적구성은 지역전화회사의 가 
장 가까운 중심사무소에 대 한 접근을 제공한다. 배선실에서 회선들은 케블로 통합되며 
건물의 지하실에서 다른 케블들과 같이 묶어 진다. 이로부터 큰 케블묶음이 중앙사무소 
의 지 하실을 지 나게 된다. 

또한 배선실은 위성과 지구국의 련결 혹은 지점 대 지점의 지구미크로파련결가운데 
서 어느 하나를 미크로파안테나에 련결하는 기능을 수행한다. 안테나에 의한 접속은 전 
용망에 속하는 경 우도 있지 만 AT&T 또는 MCI 와 같은 장거 리반송파에 접 속하기 위한 
국부적 인 수단으로도 될수 있다. 



그림 5-1. 공격당할 지점 


배선실은 파케트절환망의 마디에 대한 접속을 계공할수도 있다. 이 접속은 임대회선 
이나 직접적인 전형회선일수도 있고 ISDN 과 같은 공개원격통신망을 통한 절환접속일수 
도 있다. 망의 내부에서 자료는 목적지말단체 계 가 접속된 마디 에 도착할 때까지 많은 마 
디들과 마디들사이의 련결을 통과한다. 

공격은 임의의 통신련결에서 일어 날수 있다. 적극적공격에서 공격자는 련결통로에 대한 
물리적조종을 펼요로 하며 그를 통해 통신정보를 포착하려고 한다. 소극적공격에서 공격자는 
단순히 통신자료를 알려고 한다. 통신련결수단으로는 케블(쌍심전화선，동축케블, 빛섬유), 
미크로 파련결 , 위성통신로들이 포함된다. 쌍심전화선과 동축케블은 도청장치 혹은 전자기파를 
감시 하는 감응장치 를 리 용하여 공격 할수 있 다. 접 촉형 도청 장치 (Invasive tap ) 는 능동적 공격 과 
소극적공격을 다 할수 있으나 감응형도청장치는 흔히 소극적인 공격만을 할수 있다. 빛섬유인 
경우는 도청수단을 적용할수 없는데 이것이 이 매체의 우점이다. 빛섬유는 전자기마당을 발생 
시키지 않으므로 감응형도청장치의 적용이 불가능하다. 케블의 물리적파괴는 신호의 질에 심 
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각한 영향을 미치며 곧 검출된다. 따라서 접촉형도청도 불가능하다. 미크로파나 위성통신에서 
능동적인 공격이 기술적으로 어렵고 비용이 들지만 역시 가능하다. 

각이한 통신련결우에서 잠재적약점들외에 그 통신로에 따르는 여러 처리기들자체도 
공격을 받는다. 공격은 하드웨어나 쏘프트웨 어를 변경 시 키는 형태를 취하며 그 처리기의 
기억기접근을 얻거나 전자기발신을 감시할수 있다. 이 공격들은 통신접속의 경우보다는 
드물지만 여전히 위험한것들로 되고 있다. 

즉 공격이 일어 날수 있는 위치는 대단히 많다. 더우기 광대역통신에서 많은 위치들 
은 말단사용자의 물리적통제를 받지 않는다. 물리적보안대책 이 가능한 국부망의 경우에 
도 거기에는 나쁜 의도를 가진 직원이 늘 있을수 있다. 

련결에서의 암호화와 말단 대 말단에서의 암호화 

앞절에서 본것처럼 위협에 대처하는 가장 강력하며 공통적인 방법은 암호화이다. 암 
호를 공격방어에 리용하는데서는 우선 암호화하고 암호기의 설치위치를 결정해야 한다. 
그림 5-2 에 지 적한것 처 럼 두가지 방안이 있을수 있 다. 즉 련결 ( Link ) 에 서 의 암호화와 
말단 대 말단에 서 의 암호화이다. 

기본방법 

련결 암호화에서 위험 한 매 통신련결에는 그의 량끝점 에 어떤 암호장치 가 설치된다. 
그리하여 전체 통신련결상에서 모든 전송들은 비밀로 된다. 큰 망의 경우 이 방법에서는 
많은 암호장치들이 요구되지만 그 의의는 크다. 이 방법의 결함의 하나는 파케트절환에 
들어 갈 때마다 그 통보문을 복호하여야 하는것인데 그것은 그 파케트를 경로조종하기 
위하여 스위치가 파케트의 머리부에서 주소(가상회선번호)를 읽어야 하기때문이다. 따라 
서 통보문은 매 스위 치 에서 공격 받을수 있다. 만일 공개 파케 트절환망에서 작업한다면 
사용자는 마디들의 보안에 대한 아무런 조종도 할수 없다. 

련결암호와 관련된 몇가지 문제들을 지적한다. 이 전략이 효과적으로 되기 위해서는 
원천지로부터 목적지에 이르는 모든 가능한 련결들에서 련결암호를 사용하여야 한다. 어 
떤 련결을 공유하는 마디들의 모든 쌍은 유일한 열쇠를 공유하여야 하며 매 련결들에서 
는 다른 열쇠가 리용된다. 그러므로 많은 열쇠들이 준비되여야 한다. 여기서 매 열쇠는 
다만 2개의 마디 에만 배송되 여 야 한다. 

말단 대 말단암호화에서는 암호화처리가 두 말단체계에서 진행된다. 원천지의 가입 
자 또는 말단은 자료를 암호화한다. 암호화된 형식의 자료는 목적말단 혹은 가입자에게 
망을 통하여 변경없이 전송된다. 목적지는 원천지와 열쇠를 공유하며 따라서 자료를 복 
호할수 있다. 이 방안에서는 망련결 혹은 절환들에 대한 공격을 막고 전송의 보안을 보 
장할수 있다. 따라서 말단 대 말단암호화는 그 통신을 지원하는 망과 련결의 보안 정도 
에 관여하는 말단사용자를 믿는다. 그러 나 여기 에도 약점 이 있다. 

다음과 같은 상황을 생각하자. 한 가입자가 어떤 X . 25파케트절환망에 접속하고 다른 
가입 자에 가상회 선을 설정하며 말단 대 말단암호화를 리 용하여 자료를 전송하려 고 한다고 
하자. 이때 자료는 머 리부와 사용자자료로 이루어 진 파케트형식으로 망에서 전송된다고 하 
자. 매 파케트의 어느 부분을 가입자가 암호화하겠는가? 가입자가 머 리부를 포함하여 전체 
파케트를 암호화한다고 가정하자. 파케트절환마디는 암호화된 파케트를 받고 그 머리부를 
읽을수 없다. 그러므로 그 파케트를 보낼수 없게 된다. 그로부터 가입자는 파케트의 사용자 
자료부분만 암호화하고 머리부는 그대로 남겨야 한다는것을 알수 있다. 
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1 러므로 말단 대 말단암호화로 사용자자료는 안전하다. 그러나 전송패턴은 그렇지 
그것은 파케트의 머 리부들이 그대로 전송되기때문이다. 한편 말단 대 말단암호화 
.증기능을 가지고 있다. 만일 말단체계가 어떤 암호열쇠를 공유하면 확인자는 관계 
열쇠 를 송신자만이 공유하였 으므로 짐 작되는 송신자로부터 통보문을 수신하였 음을 
&수 있다. 그러한 인증이 련결암호방식에는 없다. 



0 = 련 결 암호화기 PSN= 파케 르절 환마디 


그림 5-2. 파케트절환망에서의 암호화 


t 5-1. 련결과 말단 대 말단에 서 의 암호화의 특성 [ PFLE 97] 

련결암호 말단 대 말단암호 

말단체계 와 중개체계내 에서의 보안 

송신자가 분석한 통보문 송신자가 암호화한 통보문 

중간마디 들에 서 로출된 통보문 _ 중개마디 들에 서 암호화된 통보문 _ 

사용자의 역할 

송신자에 의하여 적 용 송신처 리 에 의하여 적 용 

사용자에게 투명 사용자는 암호화를 적용한다. 

가입자는 암호화수단을 보존한다. 사용자는 알고리듬을 결정하여야 한다. 

모든 사용자들에 대 하여 하나의 수단 사용자는 암호방식 을 선택한다. 

하드웨 어 로 실현할수 있다. 쏘프트웨 어실현 

통보문이 모두 암호화되거나 일부만 암 사용자는 매 통보문에 대하여 암호화하겠 

호화될수 있 다. _ 는가 안하겠는가를 결정한다. _ 

실현에 관련된것 

가입 자중개마디당 하나의 열쇠 를 요구 매 사용자쌍마다 하나의 열쇠를 요구한다. 
하며 중간의 마디쌍에 대해서도 하나의 사용자인증을 제공한다. 





보다 강도 높은 보안을 위 하여서는 그림 5-2 에 보여 준것처 럼 련결과 말단 대 말단 
의 두가지 암호법을 다 적용하는것 이 필요하다. 암호화방식 이 다 리용되면 다음 말단 대 
말단암호화열쇠 를 리 용하여 파케 트의 사용자자료부분을 암호화한다. 전체 파케 트는 련결 
암호화열쇠를 리용하여 암호화된다. 파케트가 망을 통하여 전송되면 매 절환기는 머 리부 
를 읽 기 위해 련결암호열 쇠 를 리용하여 파케 트를 복호한다. 그리 고 그것 을 다음련결 에 
보내 기 위하여 다시 파케 트의 전체 를 암호화한다. 전체 파케 트는 그 파케 트가 어 떤 파케 
트스위치의 기억기에 실제로 있는 동안을 제외하고는 안전하다. 

표 5-1 은 두 암호화전략들의 열쇠특징들을 개괄하였다. 

말단 대 말단암호화기능의 론리적배 치 

련결암호화에서 암호화기능은 통신계층의 낮은 준위에서 수행된다. OSI 의 방식으로 
접속암호화는 물리층 혹은 련결층에서 진행된다. 

말단 대 말단암호화를 위한 암호기능의 론리적배 치 에 대 한 여 러 가지 선택 이 가능하 
다. 가장 낮은 실천적준위 로서 암호화기 능은 망층에 서 실현될수 있 다. 실례 로 암호는 
X .25 와 결합될수 있으며 따라서 모든 X .25 파케트들의 사용자자료부분이 암호화된다. 

망층암호화에서 확인가능하고 개별적으로 보호되는 개체들이 그 망의 말단체계들의 
수에 대응된다. 매 말단체계는 다른 말단체계와 만일 그 두 체계가 비밀열쇠를 공유하였 
다면 암호화된것을 교환하도록 맞물릴수 있다. 매 말단체계내에서 모든 사용자처리와 응 
용들은 특정 의 목적 말단체 계 에 도달하기 위하여 갈은 열쇠 와 갈은 암호방식 을 리 용할수 
있다. 이 러한 약속으로 암호기능을 어떤 앞단처리기 (일반적으로 말단체계 에서 통신접속 
대 ) 에 제 기할수도 있 다. 

그림 5-3 에 앞단처리 기 ( FEP ) 의 암호화기 능을 보여 준다. 가입 자측에 서 FEP 는 파 
케 트를 접 수한다. 파케 트의 사용자자료부분은 암호화되 며 한편 파케 트머 리부는 암호화과 
정을 건너 편다. 결과 파케트는 망에 넘겨 진다. 반대방향으로 망으로부터 도착하는 파 
케트들에 대하여 사용자자료부분이 복호되며 전체 파케트는 가입자에 넘겨 진다. 만일 
전송층의 기능이 (즉 IS ◦전송 규약 또는 TCP ) 앞단에서 실현된다면 전송층머리부는 그 
대 로 남게 되며 전송규약자료단위의 사용자자료부분은 암호화된다. 



주를퓨터에로/로부터 주큼퓨터에로/로■부터 


그림 5-3. 앞단처리 기기능 
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망층 X .25 나 TCP 와 같은 말단 대 말단규5약에 관한 암호봉사의 개발은 완전히 통 
합된 호상련결망내에서 거래에 대한 말단 대 말단보안을 제공한다. 그러나 그러한 방식 
은 전자우편，전자자료교환 ( EDI ), 파일전송과 갈은 호상련결망의 경계들을 지나는 전송 
에 필요한 봉사를 제공할수 없다. 

그림 5-4 에 그것을 보여 준다. 이 실례에서 전자우편관문은 TCP / IP 에 기초한 방식 
과 OSI 에 기 초한 방식 을 리 용하는 호상련결망을 접 속하는데 리 용되 였 다. 그러한 구성 에 
서는 응용층밑의 말단 대 말단규약이 없다. 매 말단체계로부터의 전송층과 망층과의 련 
결은 전자우편관문에서 진행되며 다른 말단체계에 접속하기 위한 새로운 전송층과 망접 
속들이 설정된다. 더 우기 그러한 씨 나리 오는 두개의 서 로 다른 방식 들사이 의 관문경 우로 
제한되지 않는다. 지어 두 말단체계가 TCP/IP 또는 OSI 을 리용한다면 다른 고립된 호 
상접속망들사이에 전자우편관문들이 설치되는 실지 구성방식들의 많은 실례들이 있게 된 
다. 축적 전송기 능을 가지 는 전자우편과 갈은 응용들에 서 말단 대 말단암호화를 위한 장 
소는 응용증뿐이다. 

응용층암호화의 약점은 고찰해야 할 실체의 수가 극적으로 늘어 난다는것이다. 수백 
개의 가입 자들을 지원하는 망은 수천의 사용자 또는 처 리들을 지원할수 있다. 따라서 더 
많은 비 밀 열쇠 를 생 성하여 배 송하여 야 한다. 

흥미 있는 다른 중요한 방법의 하나는 통신층에 의하여 암호화할 정 보량은 적지만 
안전성은 더 높아 진다는것이다. 그림 5-5 에서 이것을 TCP / IP 방식을 실례 들어 강조하 
였 다. 그림 에 서 응용준위관문은 응용준위 에 서 조작되 는 축적 전송장치 를 말한다. 


우편관문 


TCP / IP 말단 
체계 



련결 준위 
암호범위 


•응용층아래 말단 대 말단암호화범 위 


응용층 말단 대 말단암호화범 위 


그림 5-4. 축적 회 송통신들사이 암호화적 용범 위 
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응용준위암호화에 서(그림 5-5 의 1) TCP 부분의 사용자자료부만 암호화된 다. TCP , 
IP , 망준위，접 속준위머 리 부，접 속준위꼬리 부는 암호화되 지 않는다. 반면 에 암호화가 
TCP 준위 (그림 5-5 의 니에서 진행된다면 단일말단 대 말단접속에서 사용자자료와 TCP 
머리 부는 암호화된다. 원천지로부터 목적지까지 IP 데이터 그램을 경로조종하여야 하므로 
IP 머 리부는 그대로 남는다. 그러 나 어떤 통보문이 관문을 지 난다면 TCP 접속은 종결되 
며 새로운 전송접속이 다음 전송단계를 위해 개방된다. 더우기 관문은 IP 의 기초화에 의 
해서 목적지로 취급된다. 따라서 자료단위의 암호화된 부분은 관문에서 부호화된다. 만 
일 다음 단계 가 TCP / IP 망우의 것 이 라면 사용자자료와 TCP 머 리 부는 전송전에 다시 암호 
화된 다. 그러 나 관문 그자체 에 서 자료단위 는 평 문으로 취 급된 다. 마지 막으로 접 속준위암 
호화에서 (그림 5-5 의 n ) 접속머 리부와 꼬리부를 제외한 전체 자료단위는 매 접속에서 
암호화되지만 전체 자료단위는 매 경로조종기와 관문에서는 그대로 된다. 



기 응용준위암호화(련결，경로기, 관문우에 서 ) 



련결들과경로조종기들에서 




경 로조종기 들과 관문들에 서 


c ) 련결준위암호화 

TCP-H : TCP 머 리부 
IP-H : IP 머 리 부 

Net-H : 망준위머리부(실례로 X . 25 파케트머리부， LLC 국리부) 
Link-H : D 자료련결조종규약머리부 
Link-T : D 자료련결조종규약꼬리부 


그림 5-5. 각이한 암호전략들의 관계 
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5.2 전송기밀성 

1장에서 일부 경우에 사용자들이 전송분석으로부터 보안에 대하여 관심을 둔다는것 
을 언급하였다. 마디들사이의 통보문들의 길이와 개수에 대한 정보는 적이 누가 누구에 
게 통신하고 있는가를 결정할수 있게 한다 .이것은 군사분야에서 더 명백하다. 지어 상 
업응용들에서 정보분석에 의해 전송의 발송자가 감추려 하는 정보를 얻을수 있다. 문헌 
[ MUFT 89] 에 전송분석 공격 으로부터 로출될수 있는 다음과 갈은 정 보들을 소개하였 다. 

• 전송대방들의 식별자 

• 대방들의 통신회수 

• 중요한 정 보가 교환된 다고 추측되 는 통보문패런 , 통보문길 이 또는 통보문의 량 

• 대 방들사이 의 특정한 대 화와 관련한 사건들 

전송에 관계 되 는 다른 문제 는 비 밀통로를 창조하기 위한 전송패 런의 리 용이 다. 비 밀 
통신로는 통신수단의 설계자가 의도하지 않은 방식에서의 통신수단이다. 일반적으로 통 
신로를 통한 정보전송에서는 보안방략이 위반될수 있다. 실례로 어떤 직원은 관리자에게 
발견되지 않으면서 쉽 게 도청할수 있는 방법 으로 외 부와 정 보를 통신하려 고 할수 있다. 
쌍방은 어떤 길이보다 작은 명백히 합법적인 통보문은 2진수 0을 표시하고 긴 통보문은 
1을 표시하는 부호를 설정할수 있 다. 

련결암호화수법 

련결암호화에서 는 전송정 보분석의 기회 를 줄이 기 위해 파케 트머 리부를 암호화한다. 
그러나 그런 환경에서도 여전히 공격자는 망에서의 전송자료량에 접근할수 있으며 매 말 
단체계 에서 나가고 들어 가는 전송량을 감시할수 있는 가능성 이 있게 된다. 이 러한 공격 
에 대한 효과적인 대책은 그림 5-6 에 제시한 전송의 메꾸기이다. 


불련속적인 
평문입력 


열쇠 



련속 문 
줄력 


그림 5-6. 전송메 꾸기암호화장치 
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전송의 메꾸기는 비록 평문이 주어 지지 않더라도 련속적으로 암호문출력을 생성한 
다. 입력평문이 없을 때에는 암호문이 전송된다.이것은 공격자가 진짜 자료와 메꾸기사 
이를 구분할수 없게 하며 결국 전송량을 추측할수 없게 한다. 

말단 대 말단암호수법 

전송메꾸기는 본질적으로 련결암호화기능이다. 만일 말단 대 말단암호화가 사용되면 
방어에 써먹을수 있는 수단은 더 제한된다. 실례로 암호화가 응용층에서 실현된다면 적 
은 어느 전송실체가 전송에 참가하는가를 결정할수 있다. 만일 암호화기술이 전송층에서 
적용되면 망층주소와 전송패턴은 접근가능하게 된다. 

여기서 전송층이나 응용층에서 자료단위들을 갈은 길이로 채워 넣는것이 효과적인 
기술이다. 또한 빈 통보문은 임의로 정보흐름에 삽입될수 있다. 이러한 전술은 적이 말 
단사용자들사이의 자료교환량을 알수 없게 하며 기본전송패런을 애매하게 만든다. 


5.3 열쇠배포 

전통암호를 리용하자면 교환쌍방이 갈은 열쇠를 공유하여야 하는데 이 열쇠는 다른 
사람으로부터 엄격히 보호되여야 한다. 더우기 공격자가 열쇠를 알수 있다면 빈번히 열 
쇠를 바꾸어야 한다. 모든 암호체계의 강도는 열쇠배포 기술의 완성을 전제로 한다, 두 
대방 A , 묘에 대한 열쇠배포는 다음과 갈은 방법으로 실현될수 있다. 

1. A 의 열쇠는 A 가 선정하고 물리적으로 묘에 배송한다. 

2. 3자가 열쇠를 선정하여 물리적으로 A 와 B 에 배송한다. 

3. 만일 A 와 묘가 이전과 최근에 하나의 열쇠를 리용하였다면 한 대방은 낡은 열쇠 
로 새 열쇠를 암호화하여 다른 대방에게 배송할수 있다. 

4. A 와 B 가 각각 제3자 Oil 대 한 암호화접속을 가지면 C 는 A 와 모에 암호화된 련 
결들에로 열쇠를 보낼수 있다. 

경우 1과 2를 열쇠의 수동적배송 (Manual delivery ) 이 라고 부론다. 련결암호화에서 
그것은 매 련결암호화장치 가 그 런결의 대 방하고만 자료교환을 하기때문에 정 당한 요구 
로 된다. 그러나 말단 대 말단암호화에서는 수동적배송이 곤난하다. 분산체계에서 이미 
주어 진 가입자나 말단은 다른 많은 가입자나 말단과 정보교환을 위해 서로 련계를 가져 
야 한다. 따라서 매 장치에는 동적으로 많은 열쇠들이 공급되여야 한다. 이 문제는 광대 
역분산체계의 경우 특히 더 어렵 다. 

문제의 규모는 지원하여야 할 통신쌍들의 수에 관계된다. 만일 말단 대 말단암호화 
가 망 혹은 IP 준위에서 주어 지면 열쇠는 통신하려는 망우의 매 가입자쌍만큼 필요된다. 
"개의 가입자에 요구되는 열쇠수는 [ iV ("—1)]/2이다. 만일 암호화가 응용준위에서 진행 
되면 열쇠는 통신을 요구하는 모든 사용자쌍 혹은 처리사이에 요구된다. 따라서 망이 수 
백개의 가입 자들을 가지 면 수천의 사용자들과 처 리들이 있게 된다. 그림 5-7 에 말단 대 
말단암호화를 위 한 열쇠 배 포과제 의 크기 를 보여 준다. 1000개 마디 를 가지 는 마디 준위암호 
화를 리용하는 망에서 50만개의 열쇄배송을 생각할수 있다. 만일 이 망이 1만개의 응용을 
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지원한다면 응용준위의 암호화에 5천만개의 열쇠가 요구될것이다. 

우의 열쇠배 포에서 3번째 경 우를 보자. 이 것은 련결암호화나 말단 대 말단암호화 
에서 가능하다. 만일 공격 자가 한개의 열쇠 에 대 한 접 근에 성 공한다면 뒤따르는 열쇠 
들도 모두 로출될것이다. 더우기 잠재적으로 수백만개의 열쇠의 초기배송이 되여 있어 
야 한다. 

말단 대 말단암호화에서 우의 4번째 안의 변종이 많이 쓰이고 있다. 이 방식에서 열 
쇠배포쎈터는 요구가 제기될 때마다 사용자(가입자，처리，응용)쌍에 배송한다. 매 사용 
자는 열쇠 를 배 정 받기 위하여 열쇠 배 포쎈터 와 한개 의 열쇠 를 공유하여 야 한다. 

열쇠배포센터의 리용은 열쇠의 계층적리용에 기초하였다. 최소한 두개 준위의 열쇠 
가 리 용되고 있다(그림 5-8). 말단체계들사이의 통신은 보통 대화 ( Session ) 열쇠 라고 부 
르는 림시열쇠를 리용하여 암호화된다. 일반적으로 대화열쇠는 가상회로 또는 전송접속 
과 같은 론리적접속기간에만 리용되고 그다음에는 폐기된다. 매 대화열쇠는 말단사용자 
통신에 리용되는 갈은 망수단들상에서 열쇠배포쎈터로부터 얻어 진다. 따라서 대화열쇠 
는 열쇠배포쎈터와 말단체계 혹은 사용자가 공유하는 주열쇠를 리용하여 암호화된 모양 
으로 전송된다. 

매 말단체계 혹은 사용자들에게는 열쇠배포센터와 공유하는 유일한 주열쇠가 있다. 
물론 주열쇠들도 어떤 방법 으로 배송되 여 야 한다. 그러 나 문제의 규모는 매우 축소된다. 
만일 거기에 통신을 요구하는 "개의 실체가 있다면 매번 |>切 一 1)]/2개의 대화열쇠가 
요구될것이다. 그러나 매 실체에 대하여 다만 "개의 주열쇠가 요구된다. 따라서 주열쇠 
들은 물리 적 배 송과 갈은 비암호적방법 으로 배 송할수 있 다. 
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자료 



암호학적보호 


대화열쇠 


주열쇠 



암호학적보호 


비암호학적보호 


그림 5-8. 열쇠계 층의 리용 


열쇠배포씨나리오 

열쇠배포의 개 념은 여 러 가지 방법 으로 정의할수 있다. 전형적 인 씨 나리 오를 그림 5- 
9에 보여 준다. 이 씨 나리오는 열쇠 배 포쎈터 ( KDC ) 에 의하여 매 사용자가 유일 한 주열 
쇠 를 가지 게 된 다고 가정한다. 

사용자 A 가 B 와 론리 적 접 속을 설 정하려 고 한다고 보고 그 접 속우에 서 전송된 자료 
를 보호하기 위하여 1회용(한번 쓰고 버리는)대화열쇠를 요구한다고 하자. A 는 비밀열 
쇠 도도 3 를 가진다. 그것은 다만 A 와 KDC 만 안다고 하자. 마찬가지로 B 는 KDC 와 함께 
주열쇠 K b 를 가지고 있다. 다음과 갈은 절차들이 있을수 있다. 

1. A 는 B 에 대 한 론리 적 접 속을 보호하기 위한 대 화열쇠 를 KDC 에 요구한다. 통보 
문에는 A 와 묘의 신원(이름)과 한번쓰기정보 ( nonce ) 라고 부르는 이 트랜잭션을 
위한 유일한 식별자 N ! 가 포함된다. 한번쓰기정보로는 시간도장 ( timestamp ), 계 
수기 또는 란수가 될수 있는데 최소한 그것을 매 요청에 대하여 구별할수 있어야 
한다. 또 가장을 하지 못하도록 한번쓰기정보에 대하여 적 이 추측하기 힘들게 하 
여 야 한다. 따라서 란수는 한번쓰기정보로서 좋은 방법 이 다. 

2. KDC 는 於功를 리용하여 암호화된 통보문으로 응답한다. 따라서 A 만이 그 통보문 
을 성과적 으로 받을수 있으며 A 는 그것 이 KDC 에서 보낸것 이 라는것을 알수 있다. 
그 통보문에는 A 에 대 한 다음과 갈은 2개의 항목이 포함된다. 







ft 해 당 대 화에 서 리 용되 는 1회 용대 화열 쇠 K s 

a 한번쓰기정보를 포함하는 초기요청통보문. 이것은 A 가 해당한 요청과 이 응 
답을 대조할수 있게 한다. 

따라서 A 는 그의 초기요청 이 KDC 에 의하여 접수되기전에 변경되지 않았다는것과 
어떤 선행한 요청의 재연이 아니라는것을 한번쓰기정보를 리용하여 확인할수 있다. 
그외에 통보문에는 묘에 대한 다음의 2개의 항목이 포함된다. 
a 해당 대화에서 리용되는 1회용대화열쇠 K s 
讀. : JA 의 식별자(그것의 망주소), ID a 

이 마지막 두 항목들은 K b 로 ( KDC 와 묘가 공유하는 주열쇠) 암호화된다. 이것들 
을 묘에 보내여 접속을 실현하며 A 의 신원을 확인한다. 

3. A 는 해당 대화에 필요한 대화열쇠를 보관하고 KDC 에서 발생한 정보 E kb [ K s || 
ID A ] 를 B 에 게 보낸다. 이 정 보는 1。를 리 용하여 암호화되 였기때 문에 도청하지 못 
한다. 대 화열쇠 ( Ks ) 를 알면 대 방이 A 라는것 ( IDa 로부터 )과 KDC 에 서 보낸 정 보임 
을 알게 된다 ( E kb 를 리용하여 암호화하였기때문에). 

이 시점에서 대화열쇠는 A 와 B 에 안전하게 배송되며 A 와 B 는 보호된 정보교환을 
시작할수 있게 된다. 그러 나 2개의 보충적 인 단계가 필요하다. 

4. 암호화를 위해 새 롭게 만들어 낸 대 화열쇠 를 리 용하여 묘는 A 에 게 한번쓰기 정 보 
N 2 을 보낸다. 

5. A 는 K s 를 리용하여 F ( N 2 ) 로 응답한다. 여 기서 표는 N 2 에 대 하여 어떤 변환을 
수행 하는 함수이 다. 

이 단계들은 묘가 재연이 없이 받은 처음 통보문이라는것을 보증한다. 실제적인 열 
쇠 배 포는 단계 1〜3에 서 진행 되 며 단계 4，5는 인증기 능을 수행한다. 
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계층적열쇠조종 

하나의 KDC 로 열쇠배포기능을 제한할 필요는 없다. 대단히 큰 망에서 그렇게 하는 
것 은 실 천적 이 못된다. 따라서 다른 하나의 방안은 KDC 의 계 층을 설정하는것 이 다. 실 
례 로 단일국부망 혹은 단일건물과 갈은 총적 인 호상 접속망의 작은 령역을 담당한 국부 
KDC 들이 있 을수 있 다. 동일 한 국부령 역안에 서 실 체 들사이 의 통신을 위하여 국부 KDC 
는 열쇠배포를 책임 진다. 만일 다른 령역의 두 실체 가 열쇠 공유를 바란다면 대 응하는 국 
부 KDC 들은 대 역 KDC 를 통하여 통신할수 있다. 이 경우에 포함된 세 KDC 중의 임의 
의 하나는 실제 로 열쇠를 선택할수 있다. 계 층개 념 은 망의 지 리 학적범위와 사용자집 단의 
크기 에 따라 3 혹은 그 이상의 층으로 확장할수 있다. 

계층방식은 주열쇠의 배송에 필요한 비용을 최소화하는데 그것은 대부분의 주열쇠들 
이 국부 KDC 에 의하여 그의 국부실체 들과 공유되 기 때 문이 다. 그밖에 그러한 방식 은 고 
장 또는 파괴된 KDC 로 인한 피 해를 그의 국부지역 만으로 제 한한다. 

대화열쇠의 생명주기 

대화열쇠들이 자주 교체될수록 그것들은 더욱 안전해 진다. 그것은 적이 임의의 주 
어 진 대화열쇠에 대한 암호문을 보다 적게 가지기때문이다. 한편 대화열쇠의 배송은 정 
보교환을 지 연시 키 며 망용량에 부담을 준다. 보안관리자는 개 별적 대 화열쇠 의 생 명 주기 를 
결 정하는데 서 이 모순되 는 두 문제 의 균형 을 맞추어 야 한다. 

접속지향규약에서 한가지 명백한 방법은 매 개 새 로운 대화에 대 하여 새 로운 대화열 
쇠 를 리용하며 접 속이 개 방된 시 간에 대 해서 는 갈은 대 화열쇠 를 리용하는것 이 다. 만일 
론리적접속이 매우 긴 생명주기를 가진다면 대화열쇠를 PDU (규약자료단위)렬번호가 순 
환할 때 마다 주기 적 으로 변경하는것 이 중요하다. 

트랜잭션규약과 갈은 비접속규약에 대하여 명백한 접속의 시작과 종결이 없다. 그러 
므로 얼마나 자주 대화열쇠를 변경시켜 야 하는가가 명백치 않다. 가장 안전한 수법은 매 
교환에 대하여 새로운 대화열쇠를 사용하는것이다. 그러나 이것은 매개의 트랜잭션에 대 
한 지연과 간접비용을 최소로 하는 접속규약의 원리적인 우점의 하나에 모순된다. 보다 
좋은 전략은 어 떤 고정된 주기동안만 혹은 어 떤 일정한 수의 트랜잭 션들에 만 주어 진 대 
화열쇠를 리용하는것이다. 

투명한 열쇠조종방식 

그림 5-9 에서 제시한 방법 에 는 많은 변종들이 있는데 그중 하나를 여 기서 취 급한다. 
그림 5-10 에 준 방식 은 말단사용자들에 게 투명한 방법 으로 망 혹은 전송준위 에 서 말단 
대 말단암호화를 제공하는데 쓸모 있다. 이 방법은 통신이 X .25 또는 TCP 와 같은 접속 
지 향말단 대 말단규약을 리용한다는것 을 전제 로 한다. 이 방법 의 주목되 는 부분은 가입 
자 또는 말단을 대 신하여 대 화열쇠 를 얻 고 말단 대 말단암호화를 수행하는 앞단처리 기 
(그림 5-3 에서 보여 준것과 갈은)이 다. 

그림 5-10 에 접속실현과정의 단계를 보여 준다. 한 가입자가 다른 가입자와 접속을 
요청한다면 접속요청파케트를 보낸다(단계 1). 앞단처리기는 그 파케트를 보관하고 접속 
의 확립을 허 락 받기 위하여 KDC 에 요청한다(단계 2). FEP 와 KDC 사이의 통신은 KDC 
와 FEP 만 공유하는 주열쇠를 리용하여 암호화된다. 만일 KDC 가 접속요청을 승인하면 
그것은 대화열쇠를 발생 하고 매 앞단처리기 에 유일한 불변열쇠를 리용하여 두 해 당 앞단 
처 리기들에 대화열쇠를 보낸다(단계 3). 요청된 앞단처리기는 접속요청파케트를 내보내며 
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그림 5-10. 접 속지향규약에서 자동열쇠 배 포 


두 말단체계사이의 접속이 설정된다(단계 4). 두 말단체계사이에서 교환되는 모든 사용자 
자료는 1회 용대 화열쇠 를 리 용하여 이 개 별적앞단처리 기 들에 의하여 암호화된다. 

이 수법의 우점은 말단체계들에 대한 영향을 최소화한다는것 이 다. 가입자의 견지 에 
서 보면 FEP 는 파케트절환마디처럼 보이며 망에 대한 가입자의 대면부는 변화되지 않 
는다. 망의 견지 에 서 보면 FEP 는 가입자처 럼 보이 며 그 가입 자에 대 한 파케 트절환대 면 
부는 변하지 않는다. 

분산열쇠조종 

열쇠 배 포쎈터의 리용은 KDC 가 파괴 로부터 보호되 고 또 신임 되 여 야 한다는 요구를 
제 기한다. 이 요구는 만일 열쇠 배 포가 완전히 분산화된다면 피할수 있다. 비 록 완전분산 
화가 전통암호만을 사용하는 큰 망에서는 실천적이 못되더 라도 어떤 국부적 인 정황에서 
는 쓸모 있을수 있다. 


(1) Request! N i- 

、、、 

M 자 ^ 4 응답자 | 

ᅳ效 E M Km[K s II Reque S t|| ID B || 明 이 N 2 ]- 

ᅭ效。[明 2 )广 




그림 5-11. 분산화된 열쇠배포 
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분산화방법 은 매 말단체 계 가 대화열쇠 배 포를 위 하여 모든 가능한 대 방말단체 계 들과 
안전한 방법으로 통신할수 있을것을 요구한다. 따라서 «개의 말단체계를 가지는 구성에 
서는 [ n ( n - l )]/2 개의 주열쇠를 필요로 할수 있다. 

대화열쇠는 다음과 같은 단계로 설정될수 있다(그림 5-11). 

1. A 는 한번쓰기정보 자!를 포함하는 대화열쇠에 대한 요구를 묘에 보낸다. 

2. 묘는 공유한 주열쇠를 리용하여 암호화된 통보문으로 응답한다. 이 응답은 묘에 의 
하여 선정된 대화열쇠，묘의 식별자，값 f 에)，다른 한번쓰기정보 N 2 을 포함한다. 

3. A 는 새 대화열쇠를 리용하여 모에 f ( N 2 ) 을 보낸다. 

따라서 매 마디 점은 기껏 («_1)개 의 주열쇠 들을 관리하지 만 필요되 는만큼 대 화열쇠 
들을 생 성하여 리 용할수 있 다. 주열쇠 를 리 용하여 전송되 는 통보문이 짧기 때 문에 암호분 
석 이 어렵다. 앞에서와 같이 보호를 목적으로 하여 대화열쇠는 제한된 시간동안만 사용 
된 다. 

열쇠사용의 조종 

열쇠계층의 개념과 자동열쇠배포기술의 리용은 수동적으로 관리하고 배송하여야 할 
열쇠의 개수를 많이 감소시켰다. 자동적으로 배송되는 열쇠들을 리용하는 방법에 대하여 
일부 조종을 부가할 필요가 있을수도 있다. 실례로 대화열쇠로부터 주열쇠를 구분하는 
외 에 다음과 갈은 사용에 기 초하여 대 화열쇠 들의 서 로 다른 형 태 들을 정 의할수 있 다. 

• 망에서 일반적 인 통신을 위한 자료암호화열쇠 

• 전 자송금이 나 상업 거 래 에 서 쓰이 는 개 인 식 별 번 호 (Personal identification 
number ： PIN ) 용의 PIN 암호화열쇠 

• 공개적으로 접근할수 있는 지점에 보관된 파일들을 암호화하는 파일암호화열쇠 

형태별에 따르는 열쇠구분의 가치를 보기 위하여 주열쇠가 자료암호화열쇠로서 장치 
에 들어 갈수 있는 위험성을 고찰하자. 일반적으로 주열쇠는 말단체계와 열쇠배포쎈터의 
암호장치내에 물리적으로 보안되여 있다. 

이 주열 쇠 로 암호화된 대 화열 쇠 는 그러한 대 화열 쇠 로 암호화된 자료와 마찬가지 로 
응용프로그람에서 리용할수 있다. 그러나 주열쇠가 대화열쇠로 취급되면 인증되지 않은 
응용에서 그 주열쇠로 암호화된 대화열쇠들의 평문을 얻을수 있다. 

그러므로 이 열쇠들과 관련된 특성에 기초하여 열쇠들의 리용방법을 제 한하는 체계 
의 조종을 제정하는것이 좋을것이다. 하나의 간단한 방안은 어떤 타그를 매 열쇠와 결합 
시키 는것 이 다. 제 안된 기 술은 DES 에 서 리용할수 있으며 매 64- bitDES 열쇠 에 서 여 분의 
8 bit 를 리 용하게 한다. 즉 기 우성 검 사를 위하여 예 약된 8개 의 열쇠비 트들은 열쇠타그를 
이룬다. 이 비트들은 다음과 같이 해석된다. 

• 한 비 트는 그 열쇠 가 주열쇠 인가 대 화열쇠 인가를 지적한다. 

• 한 비 트는 그 열쇠 를 암호화에 리 용할수 있는가 없는가를 지 적한다. 

• 한 비 트는 그 열쇠 가 복호화에 리 용될수 있는가 없는가를 지적한다. 

• 나머 지비 트들은 앞으로의 리 용을 예 견 하여 남겨 놓는다. 
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유연성에 제한을 주며 둘째로, 타그가 명백한 형으로 전송되지 않으 J 
서 리용만 할수 있으며 열쇠리용을 조종하는 방법에서 제한을 준다는3 
조종벡토르라고 부르는 더 유연한 방식 이 문헌 [ MATY 的에 소개되 였디 
1화열쇠 는 그것 을 제 한하고 그 리용을 지 적하는 많은 마당들로 이 루어 
와 결합된다. 조종벡 토르의 길 이는 가변이다. 

조종벡토르는 KDC 에서 열쇠발생시에 암호학적으로 열쇠와 결합된다. - 
5-12 에 보여 준다. 첫 단계로 조종벡토르는 길이가 암호열쇠의 길이와 
F 쉬함수를 거 치게 된다. 하쉬함수는 8장에서 구체적 으로 취급한다. 본: 
는 큰 범위로부터 비교적 균일하게 분포되는 작은 범위에로의 넘기기이 
) 범위의 수들이 1〜10범위의 수들로 하쉬되면 원천값의 약 10%가 매개 
된 다. 

다음 하쉬 값은 대 화열쇠 를 암호화하기 위한 열쇠입 력 으로서 리 용되 는 - 
I 하여 주열 쇠 와 XOR 된 다. 즉 

하쉬값 = H = h ( CV ) 

열쇠입 력 = Km©H 
암호문 = E^en [ K S ] 

여기서 k m 은 주열쇠， k s 는 대화열쇠이다. 대화열쇠는 다음 거물연산에 
부터 얻을수 있다. 

K S= Pkm®H [ E km®H [ K S] ] 



그림 5-12. 조종벡 토르암호화와 복호화 







대화열쇠가 KDC 로부터 사용자에게 배송될 때 그것은 그대로의 조종벡토르와 함께 
배 송된 다. 대 화열 쇠 는 사용자가 KDC 와 공유하는 주열 쇠 와 조종벡 토르를 리용하여 서만 
회복할수 있다. 따라서 대화열쇠와 그의 조종벡토르사이의 관계는 유지된다. 

조종벡토르의 리용은 8- bit 타그의 리용에 비해 두가지 우점을 가진다. 첫째 로，조종 
벡 토르의 길이 에 제 한이 없는데 그것은 열쇠리용에서 임의의 복잡한 조종을 할수 있게 
한다. 둘째로，조종벡토르는 연산의 모든 단계에서 그대로 쓸수 있다는것 이 다. 따라서 
열쇠의 리용에 대한 조종을 여러 위치에서 실시할수 있다. 


5.4 란수발생 

란수는 각이한 망보안응용에서 암호화를 리용할 때 중요한 역할을 논다. 이 절에서 
는 망보안에서의 란수리용의 기본적 인 개괄을 주고 다음에 란수생성의 몇 가지 방법을 고 
찰한다. 

란수의 리용 

암호에 기초한 많은 망보안알고리듬들은 란수를 리용한다. 실례로 

• 그림 5-9 와 5-11 에서 보여 준것과 같은 호상인증방식들. 이 두 열쇠배포씨나리 
오에 서 한번쓰기 정 보들은 공격 의 재 연을 방지 하기 위 한 핸드쉐 이 킹 
( Handshaking ) 을 위 하여 리 용된 다. 한번쓰기 정 보에 서 란수를 리 용하면 한번 
쓰기정보를 추측하거 나 결정하려는 적의 기도를 좌절시 킨다. 

• KDC 혹은 통신자에 의해서 수행 되는 대 화열쇠생성，대 화열쇠생성 이 KDC 에 
의하여 진행 되 는가 아니 면 본인에 의하여 진행 되 는가. 

• RSA 공개열쇠암호알고리 듬의 열쇠 생 성 (6 장) 

이러한 응용은 란수렬에 대하여 두개의 명백하나 꼭 량립하지 않는 성질 즉 무질서 
성과 예측불가능성을 요구한다. 

우연성 

전통적으로 란수렬의 발생에서 기본은 수렬이 어떤 잘 정의된 통계적의미에서 무질 
서하게 되 는것이 였 다. 수렬의 우연성 을 평 가하기 위하여 다음 두 기 준이 쓰이 고 있 다. 

• 평등분포 (Uniform distribution ) : 렬에서 수의 분포는 평등하여야 한다. 즉 
매 개 수의 출현빈도는 근사적 으로 같아야 한다. 

• 독립성 : 렬에서 한 수의 값은 다른것들의 영향을 받지 않는다. 

어떤 수렬이 평 등분포와 같은 특정 의 분포에 따르는가에 대한 검사법은 잘 정의 되여 
있으나 독립성을 증명하는 검사법은 없다. 오히려 어떤 수렬의 독립성이 보장되지 않는 
다는것을 보여 주는데 적용할수 있는 검사법들이 있다. 일반적인 전략은 독립성이 충분 
히 강하게 존재한다는 확신이 얻 어 질 때까지 그러한 검사들을 많이 하는것 이 다. 

앞으로의 론의에서는 통계학적으로 무질서한 수렬이 암호에 관계되는 알고리듬설계 
에 서 많이 쓰인다. 실례 로 6장에 서 론의 되 는 공개열쇠암호방식 의 기 본요구는 씨수발생 가 
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능성 이 다. 일반적 으로 주어 진 큰수 〜이 씨수인가를 결정 하는것은 어렵 다. 힘 내 기공격 
은 m #보다 작은 모든 옹근수들로 나누는것 이 다. 

만일 "이 차수로서 io 15G 이고 공개열쇠암호에서 흔히 나타나는 옹근수라면 그러한 
전수공격방법은 사람이나 콤퓨터의 능력을 초월한다. 그러나 수의 씨수성을 판정할수 있 
는 많은 효과적인 알고리듬들이 있는데 거기서는 입력으로서 우연적으로 선택된 옹근수 
의 렬을 리용하여 비교적 단순한 계산으로 씨수성을 판정한다. 렬이 충분히 길다면(그러 
나 물론 보다는 훨씬 작다.) 수의 씨수성은 거의 정확하게 결정 할수 있다. 이 러 

한 방법을 우연화방법이라고 부르는데 알고리듬설계에서 빈번히 나타난다. 요컨대 어떤 
문제가 너무 어렵거나 그 문제를 정확히 푸는데 시간이 너무 걸린다면 우연화방법에 기 
초한 보다 단순하고 간결한 이러한 방법이 임의의 요구하는 수준의 확신성을 가진 답을 
제공하는데 리용된다. 

비 예 측성 

대화열쇠발생，호상인증과 갈은 응용에서 제기되는 요구는 수렬이 통계학적으로 무 
질서할뿐아니라 수렬에서 다음 출현할 수를 예측할수 없어야 한다는것이다. 

《진짜》우연렬에서 매수는 그 수렬에서 다른 수들과 통계 학적 으로 독립 이며 따라 
서 예측불가능하다. 그러 나 간단히 말한다면 진짜 란수는 거의 리용되지 않으며 어떤 
알고리듬에 의하여 생성된 무질서한것처럼 보이는 수렬이 자주 쓰인다. 이 알고리듬에 
의하여 발생된 렬은 고유한 의미에서 독립이 아니므로 적이 먼저 출현하는 수렬의 부 
분에 기초하여 그 다음에 출현할 수들을 예측할수 없게 하는데 신중한 주의를 돌려야 
한다. 

란수의 원천 

진짜 란수의 원천은 얻기 힘들다. 방사선복사의 이온화에 의한 임플스검출기，가스 
배 출관과 루실축전기 (leaky capacitor ) 같은 물리 적 잡음발생 기들이 원천으로 될수 있다. 
그러 나 그러한 장치들은 망보안응용의 리 용에서 제 한을 가진다. 여 기 에는 두가지 문제 
즉 무질서성 (우연성)과 이러한 수들의 정확성에 대한것이 있게 된다 [ BRIG 79]. 

그러나 이러한 란수는 망보안응용에서 제기되는 란수의 량에 대한 요구를 충족 
시 킬수 없 다. 더우기 서 고들에 있는 란수들이 진짜로 통계 적 으로 무질서하다고 해 
도 그것은 그 서고의 리용을 알고 있는 적 이 복사물을 엄 을수 있기때 문에 예 측할수 
있 다. 

따라서 암호응용에서는 일반적으로 생성을 위해 알고리듬적기술을 리용한다. 이 알 
고리듬은 결정적이며 따라서 통계 학적 으로 무질서 하지 않은 수렬을 생성 한다. 그러 나 알 
고리듬이 훌륭하다면 엄어 진 수렬은 무질서성에 대한 많은 합법적인 검사에 통과될것이 
다. 그러 한 수들을 흔히 모조란수 (Pseudorandom number ) 라고 부론다. 

결정론적알고리듬에 의하여 생성되는 수를 란수로서 리용하는데서 다소 확신이 없을수 
있다. 그러한 문제들에 대한 철학적의미에서 론의가 많으나 실천에서는 사용하고 있다. 

이 개념은 확률론의 전문범위로서 문헌 [ HAMM 91] 에 소개되여 있다. 
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모조란수발생기 

현재 널 리 쓰이 고 있는 모조란수발생 기 와는 상당히 다르지 만 레머 ( Lehmer ) 가 처 음 
으로 제 안한 선형 합동식 방법 이 라고 부르는 알고리 듬을 보자. 알고리 듬은 4개 의 파라메터 
에 의하여 결정되는데 다음과 같다. 


m 모드 

m>0 

a 배수 

0< a < 

c 중분 

0< c < 

X 0 출발값 또는 씨 

0< X ( 


준우연렬 {조가는 다음과 갈은 점화방정식에 의하여 엄어 진다. 

X n+l = ( aX n +c)modm 

만일 m, a, c, 하이 옹근수이면 이 방법 은 매 옹근수가 0 < X „< m 범 위 에 놓이 는 
수렬 을 생 성할것 이 다. 

a, c, m 값의 선택 은 좋은 란수발생 기개 발에서 관건적 이다. 실례 로 a = c = l 이 라고 하 
자. 그러면 생성되는 렬은 명백히 나쁘다. 다시 a=7, c=0, m=32, 자=1이라고 하자. 발 
생된 렬은 {7,17,23,1，7,"사인데 질 이 나쁘다. 모든 가능한 32개의 값중에서 겨우 4개 만 
나타난다. 수렬의 주기는 4이다. 만일 a =5 로 바꾸면 수렬은 {1, 5, 25, 29, 17, 21, 9, 
13, 1-} 즉 주기가 8로 된다. 

m 이 대단히 크게 되면 긴 우연렬을 생성할수 있다. w 선택에서 공통적인 기준은 주 
어 진 콤퓨터에서 표현가능한 최대 부아닌 옹근수와 거의 갈게 하는것이다. 즉 m 은 거 
의 2 31 에 가깝게 정해 진다. 

모조란수발생 기 (선형 합론법)의 설계 에서 쓰이는 세 기준은 다음과 같다 [ PARK 88]. 

Ti ： 함수는 완전주기발생함수로 되여야 할것이다. 즉 함수는 0 〜 m 사이의 모든 수들 
을 반복없 이 발생하여 야 한다. 

T 2 ： 발생된 렬은 무질서하여야 한다. 물론 렬은 결정론적으로 발생시키였으므로 무질 
서하지 않다. 그러나 렬이 무질서성을 판정하는 여러 검사에서 합격하여야 한다. 

T 3 ： 함수는 32- bit 산술로 효률적 으로 실현되 여 야 한다. 

적 당한 a, c, m 를 가지고 우의 세 기준을 만족시 킬수 있다. 기준 Tii 대 하여 m 은 
씨수이고 c =0 이면 a 의 어떤 값에 대하여 생성되는 렬의 주기는 w -1 로 된다. 다만 값 0 
은 제외된다. 32- bit 산술을 위해 m 의 값은 보통 2 31 _1로 정 해 진다. 이때 생성관계식 (함 
수)은 다음과 갈다. 

X n+1 =(aX„)mod(2 31 -l) 

의 선택에서는 0〜2 31 -1범위의 자연수가 가능하지만 우의 세 기준을 만족시키는 점 
은 얼마 안된다. 그러한 a 의 하나가 7 5 =16807이 다. 이 것은 IBM 363 계 렬 에서 리 용되 였다. 
이 발생기는 광범히 리용되였고 다른 란수발생기보다 검사도 더 많이 받았다. 이 란수는 
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통계학적모의작업에 자주 쓰이고 있다. 

선형합동식란수의 강도는 fl 와 m 이 적당히 선택되면 결과의 수렬이 모임 1, 2, …， 
m -1 로부터 우연적으로 뽑아 낸 렬과 통계적으로 식별불가능할것이다. 초기값 자의 선택 
과는 별도로 알고리듬에 대하여 완전히 우연적인것은 없다. 일단 그 값이 선택되면 나머 
지 수들은 결정된다. 만일 적이 선형합동식알고리듬이 리용되였다는것과 그의 파라메터 
를 아는 경 우 (례 로 a = t , c =0, m =2 31 - l ) 하나의 수를 알게 되 면 모든 뒤 따르는 수를 알 
수 있게 된다. 적 이 다만 선형합동식 란수알고리 듬이 리용되 였 다는것 만 안다면 렬의 극히 
작은 부분에 대한 지식만이면 그 알고리듬의 파라메터를 결정하는데 충분하다. 적이 수 
렬의 값 及 0 , 솨，幻, 幻을 안다고 하자. 그러 면 

= ( aX 0 + c)modm 
X 2 - ( aX x + c)modw 
X 3 = ( aX 2 + c)modm 

이 방정식으로부터 a , c m 을 구할수 있다. 

그러므로 비록 좋은 모조란수발생기라고 하여도 비예측성 이 좋을것 이 요구되는데 이 
것은 수렬의 어떤 부분에 대한 지식도 적이 수렬의 그 이후의 원소들을 결정하는데 불충 
분하여야 한다는것이다. 이러한 목표는 여러가지 방법으로 달성할수 있다. 실례로 란수 
렬을 변경시키는 내부체계시계를 리용할수 있다 [ BRIG 79]. 이 시계를 리용하는 하나의 
방법 은 새 로운 씨 로 현재의 시 간값 (mod m ) 을 리 용하여 매 W 개의 수다음에 수렬을 재시 작 
하는것 이 고 다른 방법 은 매 란수 (mod m ) 에 현재의 시 간값을 단순히 첨 가하는것 이 다. 

암호학적으로 발생되는 란수 

암호응용을 위한 란수를 생 성하기 위해 암호론리 의 우점 을 써 먹 을수 있 다. 많은 방 
법 들이 리 용되 는데 여 기서 는 3가지 실례 를 제 시한다. 


주기 N*i • 가지는계수기 



그림 5-13. 계 수기 에 의한 모조란수발생 
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순환암호화 

그림 5-13 에 문헌 [ MEYE 8 幻에서 제 안된 방법을 보여 주었다. 이 경우에 절차는 
주열 쇠 로부터 대 화열 쇠 를 발생 시 키 는데 리 용된 다. 주기 가 斤 인 계 수기 에 의해 암호론리 
에 대한 입력이 제공된다. 실례로 만일 56 -bitDES 열쇠가 생성되면 주기 2 56 을 가진 계 
수기가 사용될수 있다. 매 열쇠가 생성된 후에 계수기는 1만큼 증가한다. 이 도식에 의 
하여 생성된 모조란수들은 전체 주기 에 걸쳐 순환한다. 출력 차 ， A 의 매개는 서 
로 다른 계 수기값에 기 초하였 으며 따라서 句) 국 쑈 共 八우 Xm 이 다. 주열 쇠 가 보호되 므로 
초기의 하나 또는 여러개의 열쇠값들에 대한 지식을 가지고는 어떤 비밀열쇠도 계산론적 
으로 추론해 낼수 없다. 

알고리 듬의 강도를 더 높이 기 위하여 단순한 계 수기 가 아니 라 완전주기 모조란수발생 
기의 출력을 입력으로 할수 있다. 

DES 출력 반결 합방식 

DES 의 출력 반결 합방식 ( OFB ) 을 그림 3-14 에 보여 주는데 그것은 흐름암호에서 처 럼 
열쇠발생 을 위 해서 도 사용할수 있 다. 조작의 매 단계 의 출력 은 64 -bit 값이고 암호화를 
위 해 맨 왼쪽 i 개 비 트들이 반결 합된 다는것 에 주목하자. 련속되 는 64 -bit 출력 은 좋은 통 
계 적성질을 가지 는 모조란수렬을 생성한다. 앞의 소제목에서 제 안된 방법 에서 와 마찬가 
지 로 보호된 주열쇠를 리용하면 발생된 대화열쇠들을 보호한다. 

ANSI X 9. 17모조란수발생기 

암호학적 으로 가장 강한 모조란수발생기의 하나를 ANSI X 9.17 에서 지적하였다. 재 
정보안응용과 PGP 를 비롯한 많은 응용들에서 이 기술이 리용된다. 

그림 5-14 에 암호화를 위하여 3중 DES 를 리용한 알고리 듬을 보여 준다. 구성 은 다 
음과 갈다. 


Kl,K 2 



티 


그림 5-14. ANSI X 9. 17모조란수발생 기 
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• 입력: 두 모조란수입력은 발생기를 구동한다. 하나는 현재의 날자와 시간을 표 
현하는 64 bit 인데 매 발생때마다 갱신된다. 다른 하나의 입력은 64- bit 씨값인데 
어떤 임의의 값으로 초기화되고 발생과정에 갱신된다. 

• 열쇠 : 발생 기 는 3개 의 3중 DES 암호모둘들을 리 용한다. 그 3개 는 다 같이 56- 
bit 열 쇠 의 쌍을 리용하는데 그것 들은 안전 하게 보관되 여 야 하며 모조란수발생 
을 위해서만 리용된다. 

• 출력 : 출력은 64- bit 모조란수와 64- bit 씨값이 다. 

다음과 갈은 량들을 약속한다. 

DT ( -： /번째 발생단계 의 초기 의 날자/시 간값 

V ,• : / 번째 발생단계 의 시 작에 서 의 씨 값 

R ; : i 번째 발생 단계 에 서 생 성 되 는 모조란수 

Ki , K 2 ： 매 단계 에 서 리 용되 는 DES 열 쇠 들 

그러면 


R^EDE^^tV^EDE^^tDT,.]] 

v ;+1 = ede Ki , K 2 [ v ,.® ede Ki , K 2 [ dt ,]] 

여 기서 EDE 는 두열쇠3중 DES 를 리 용하는 암호-복호-암호렬이 다. 

몇가지 요인들이 이 방법의 암호강도에 영향을 준다. 112- bit 열쇠와 9개의 DES 암호 
화를 위한 3개 의 EDE 암호화를 포함한다. 이 방식 은 2개 의 준우연 입 력 에 의하여 구동되 
는데 그것은 날자 및 시 간값과 그 발생 기 에 의하여 생성 되 는 모조란수와 다른 발생 기 에 
의하여 생성된 씨 이 다. 따라서 적 이 취급하여 야 할 자료의 량은 매 우 방대해 진다. 란수 
R , 가 의 심 되 더 라도 티 로부터 V ;+1 를 추론해 내 는것 은 ¥ ;+1 를 생 성하는데 EDE 연산이 
보충적 으로 리 용되 였 으므로 불가능하다. 

BBS 발생기 

안전한 모조란수의 발생 에 대 한 가장 통속적 인 방법은 BBS 발생 기 로 알려 진 방법 이 
다 [ BLUM 86]. 그것 은 암호학적 강도에 대 한 가장 강한 공개 적 증명인것 갈다. 절 차는 다 
음과 갈다. 첫째로，두개의 큰 씨수 p 와 q 를 선택하는데 그것들은 모두 4로 나누면 나머 
지가 3인 씨수이 다. 즉 


p = q = 3(mod4) 


이 표기는 7 장에서 더 구체적으로 설명되는데 그것은 (p mod 4) = (q mod 4)=3 을 의 
미 한다. 실례 로 씨 수 7 과 11 은 7 e 11 e 3(mod4) 를 만족시 킨다. n = /?x 《 라고 하자. 
다음으로 n 과 서 로 소인 란수 $를 하나 선택 한다. 이것은 p 와 心가 s 의 인수가 아니 라는 
것 과 동등하다. BBS 발생 기 는 다음 알고리 듬에 의하여 비 트들의 렬 티 를 생 성 한다. 즉 
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X 0 = s 2 modn 
for i =1 to oo 

X ; . =(X w ) 2 modn 
B, = X ； mod 2 

표 5-2._ 발생기의 조작실례 


s 

x ( - 


0 

20749 


l 

143135 

1 

2 

177671 

1 

3 

97048 

0 

4 

89992 

0 

5 

174051 

1 

6 

80649 

1 

7 

45663 

1 

8 

69442 

0 

9 

186894 

0 

10 

177046 

0 


s 

Xi 


11 

137922 

0 

12 

123175 

1 

13 

8630 

0 

14 

114386 

0 

15 

14863 

1 

16 

133015 

1 

17 

106065 

1 

18 

45870 

0 

19 

137171 

1 

20 

48060 

0 


따라서 매 반복에서 제 일 아래 자리비트가 취 해 진다. 표 5-2 에 BBS 조작의 실례 를 
주었다. 여기서 «=192649=383 X 503， s =101355 이다. 

BBS 는 암호학적 으로 안전 한 준우연 비 트발생 기 ( CSPRBG ) 토서 취 급되 였 다. 
CSPRBG 는 다음-비트검사를 통과하는것으로 정의되는데 그 정의는 다음과 같다 
[ MENE 97] :《준우연비트발생기는 출력 렬의 첫 소개 비트의 입력에 대하여 년보다 더 큰 
확률로 (쇼 +1) 번째 비 트를 예 측할수 있는 다항식 시 간알고리 듬이 존재하지 않으면 다음-비 
트검사를 통과한다고 말한다.》다른 말로 그 렬의 첫 소개의 비트들이 주어 지면 光보다 
큰 확률을 가지고 다음 비트가 0 혹은 1인가를 결정하는 실천적알고리듬이 없다는것이다. 
모든 실천적 목적 을 위하여 렬들은 예 측불가능하여 야 한다. BBS 의 보안은 «의 인수분해 
의 곤난성 에 기초한다. 즉 «이 주어 지면 그의 두 씨 인수 p, q 를 결정 하여 야 한다(문헌 
[ STIN 95]),, 
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문 제 

1 . 전자우편체계는 여러 수신자들을 취급하는 방법에 따라 차이난다. 어떤 체계에 
서는 우편발송자가 모든 필요한 복사를 할수 있으며 이것들을 필요한 수신인에 
게 독립적으로 보낸다. 다른 방법은 매 수신인에게 보내기 위한 경로를 먼저 
결정하는것이다. 그다음 하나의 통보문은 그 경로의 공통부분에 송신되고 복사 
물들은 그 경로가 갈라 질 때에만 생성된다. 이러한 처리를 우편배깅 
( bagging : 우편자루에 넣 기 ) 이 라고 부론다. 

1) 보안측면을 무시하고 두 방법의 상대적인 우점과 결점을 지적하시오. 
l ) 두 방법의 보안에 관한 요구조건과 문제점에 대하여 설명하시오. 

2. 5. 2에 서 는 비 밀통로를 구축하는 방법 으로서 통보문길 이 를 리용하는 방법 을 주 
었 다. 비 밀 통신로를 구축하기 위하여 전송패 턴을 리 용하는 보충적 인 방식 을 설 
명 하시 오 . 

3. 한 LAN 관리자는 그림 5-15 에 제시된것과 같은 열쇠배포수단을 제공한다. 

1) 그 방식을 서술하시오. 

L ) 그림 5-9 의 방식과 비 교하시오. 찬성과 반대되는 점은 무엇 인가. 

4. c =0 인 선형합동식알고리 듬 즉 

X n+l - (aX n )modm 

을 취할때 m 이 씨수이고 a 의 주어 진 값이 m -1 과 같은 최대주기를 준다면 a k 
역시 최 대주기 를 주게 되며 소는 m 보다 작고 m _ l 은 소로 완제되지 않는다는것을 
밝힐수 있다. 

X 0 =l, m =31 을 리용하여 a=3, 3 2 , 3 3 , 3 4 에 대한 렬을 만들어 보시오. 

5. 다음의 생성기로부터 엄을수 있는 최대주기는 얼마인가. 

X„ +1 =(aX w )mod2 4 

1) a 의 값은 얼마인가. 

L ) 씨에 부과되는 제한은 무엇 인가. 

6. mod 2 31 은 보충비 트가 없 이 표시할수 있 어 모드연산을 더 쉽 게 수행 하기 때 
문에 선형 합동식 법 에서 mod 2 31 대 신에 mod 2 31 -1을 선택 하는것 이 이상할수 
있다. 일반적 으로 mod 方-1이 mod 方보다 더 적 합하다. 왜 그런가. 
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7. 선형합동식알고리 듬에 서 완전주기 를 가지 게끔 파라메터 를 선택하는것 이 득 좋 
은 무질서성을 주는것은 아니다. 실례로 다음 발생기를 고찰하시오. 

X n+1 =(6X n )modl3 
^ w+ i=(7^„)modl3 

두 렬의 완전주기를 쓰시오. 어느것이 더 무질서한것 같은가? 

8. 암호，모의 또는 통계적설계 등과 같은 모조란수의 리용에 의거하고 있는 를 
퓨터체계서고의 란수발생 기를 무턱대 고 믿는것은 위 험하다. 연구자들은 많은 
최 신도서 들과 프로그람파케 트들에 서 모조란수발생 에 좋지 못한 알고리 듬들을 
리용하고 있다는것을 지적 하고 있다. 이 련습도 현재의 콤퓨터체계를 검 토하 
게 한다.검 토는 우연적 으로 선택 된 두 옹근수들의 최 대 공약수가 1일 확률이 
6/tt 2 과 같다는 씨저 ( Cesaro ) 의 정리에 기초하였다. 

고의 값을 통계적으로 결정하기 위하여 프로그람에서는 이 정리를 리용한다. 
주프로그람은 3개 의 부분프로그람들 즉 체 계서고로부터 우연옹근수를 발생 시 
키 기 위 한 란수발생 기，유클리 드련제 법을 리용하여 두 옹근수의 최 대공약수를 
계산하는 부분프로그람，뿌리를 계산하는 부분프로그람을 호출하여야 한다. 
만일 마지막프로그람들이 없으면 자신이 작성하여야 할것이다. 주프로그람은 
앞에서 언급한 확률을 평가하기 위하여 많은 란수들을 다 순환할것이다. 이로 
부터 자기 가 고 를 결정 하는 편이 간단하다. 

그 결과가 5. 14에 가깝다면 성공이 다. 만일 그렇지 않으면 결과는 아마도 2.7 
정 도의 낮은 값으로 될 것 이 다. 왜 그러한 나쁜 결 과가 엄 어 지 는가? 

9. 쌍방이 같은 비밀열쇠를 소유하였는가를 확인하는 다음방법을 가정하자. 일방 
은 열쇠길 이의 우연비 트렬을 만들어 그것을 그 열쇠 로 XOR 한다. 그리 고 결 
과를 통로에 내보낸다. 한편 대 방은 자기의 열쇠 (상대 방의 열쇠와 같아야 한 
다.)로 들어 오는 블로크를 XOR 하고 그것을 다시 통로에 내보낸다. 일방은 
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자기가 받은것이 처음우연렬과 같은가를 검사하고 대방이 갈은 비밀열쇠를 가 
지고 있다는것 또는 전송된 열쇠를 아직도 못가지고 있다는것을 확인한다. 이 
방식의 부족점은 무엇 인가? 

10. 《우리는 지금 매우 곤난한 환경에 처해 있네，홈스. 런던의 한 외국대사관 
의 여러 콤퓨터에 민감한 정부문서의 복사물이 기억되였다는 정보를 입수했네. 
흔히 이 문서들은 매우 엄격한 보안요구를 만족시키는 선택된 몇개의 정부콤 
퓨터에만 전자문서의 형태로 보관되고 있거든. 그러나 때때로 그것들은 모든 
정부를퓨터들을 접속하는 망을 통하여 보내야 할 때가 있단 말이요. 이 망에 
서 모든 통보문은 가장 권위 있는 암호전문가들에 의하여 보증된 고급암호알 
고리 듬을 리용하여 암호화되 였 소.그러 니 NSA 나 KGB 로도 그것 을 파괴할수 
없네 . 그런데 지금 그 문서가 어떤 나라의 한 외교관의 손에 들어 갔거든.참 
어떻게 했으면 좋겠나.》 

《 누군지 짚 히 는데가 없 는가요?》 

《글쎄, 조사를 좀 해봤는데 …다만 지금 누가 정부콤퓨터에 대한 합법적접근 
권한을 가지고 있으며 누가 그 대사관의 외교관과 빈번히 접촉하는가를 알고 
있기는 한메 그 콤퓨터는 문서들이 표준적으로 기억되여 있는 콤퓨터도 아니란 
말이요.그런데 그가 어떻 게 그 문서의 복사품을 엄 었는지 참 수수께끼거든. 어 
쨌든 그는 그것을 복호하지 못할거요.》 

《그 망에서 쓰는 통신규약은 어떤것 인가요.》 

《대체로 이렇네. 망의 매 마디는 부과된 유일한 비밀열쇠 K „ 을 가지는데 그 
열쇠 는 마디 와 신용되 는 봉사기 사이 의 비 밀통신에 리용되 지 . 즉 모든 열쇠들 
은 다 그 봉사기에 기억된단 말이요. 사용자 A 가 사용자 B 에 비밀통보문 M 
을 보려고 한다면 다음 규약으로 시작할수 있네. 즉 

1. 란수 묘를 발생하고 수신측에 자기의 이름 A , 목적지 B 그리고 EK „[ R ] 
을 보낸다. 

2. 봉사기는 A 에 EK b [ R ] 로 응답한다. 

3. 묘에 EK b [ R ] 와 E R [ M ] 을 보낸다. 

4. B 는 K b 를 알며 EK b [ R ] 를 복호하여 요를 엄으며 요에 의해 E R [ M ] 을 복 
호하여 M 을 얻는다. 

통보문을 보낼 때마다 란수가 발생되여야 한다는걸 당신도 알고 있을거요. 나 
는 극비신용마디 사이 에 서 통보문이 도청 될 수 있 었 다고 보네 . 그러 나 아마 복 
호는 못할거 요.》 

《그럴수도 있지. 규약은 비밀이 아닐게고… 봉사기가 요청을 보내는 사용자를 
인증하지 않을테 니까… 분명히 규약의 설계자들은 X ( 와 봉사기)가 도ᄂ를 알고 
있을 때에나 EKJR ] 를 보내는것이 사용자 표를 송신자라고 암시적으로 인증한 
다고 본것 같네. 그러나 당신도 알다싶이 EK X [ R ] 가 도청되여 후에 재연될수 있 
단 말이요. 그 구멍의 위치만 알면 그가 접근할수 있는 콤퓨터를 통해 사람들을 
감시하면서 충분한 증거를 엄을수 있을것이 아닌가. 모름직이 그는 이렇게 했을 
걸세 . EK a [ R ] 와 E R [ M ] 을(규약을 볼것 ) 도청한후에 가령 그것 을 Z 라고 하면 
그는 계속 A 처럼 가장할것이며 그 다음은 …》 
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제 2 편. 공개열쇠암호와 하쉬함수 


제6장. 공개열쇠암호 


공개열쇠암호의 개발은 암호학의 전 력사에서 가장 위대한 변혁이다. 암호학의 초 
창기부터 현 시대에 이르기까지 실제적으로 암호체계들은 초등적인 치환법이나 환자법 
에 기초하고 있다. 본질적으로 손계산에 의존하던 알고리듬의 리용이 수천년간 전통암 
호에서의 주요한 전진으로서 회 전자식 암호화/복호화기계 가 개발되 였다. 전자기계적 인 
회전자는 아주 복잡한 암호체계를 개발할수 있게 하였다. 콤퓨터의 출현에 의해 아주 
복잡한 체계도 자료암호화표준 ( DES ) 으로 가장 높은 수준에서 계획되였다. 그러나 회 
전자기 계 와 DES 가 많은 전진을 가져 왔지만 아직 은 치 환법 이 나 환자법 의 기 틀에 의 존 
한것 이 였 다. 

공개열쇠암호는 종전의 모든것으로부터 벗어 나 근본적 인 전변을 가져 왔다. 어떤 
대상에 대 한 공개열쇠알고리듬은 환자법 이 나 치환법과는 달리 수학적함수에 기초하고 있 
다. 보다 중요하게 는 공개열 쇠암호는 오직 하나의 열 쇠 만을 리 용하는 대 칭암호와는 달리 
두개의 개별적열쇠들을 리용하는 비대칭암호라는것 이 다. 비대 칭열쇠의 리용은 후에 보게 
되겠지만 기밀성，열쇠배포 및 인증분야에서 심오한 결과들을 가져 왔다. 

본론에 들어 가기전에 공개열 쇠암호와 관련되 는 몇 가지 공통적 인 잘못된 견해 들을 
강조한다. 그 한가지 는 공개열쇠암호가 전통암호보다 암호분석 의 관점 에 서 더 안전하다 
는것 이 다. 이 런 주장은 례하면 참고문헌 [ GARD 7 기 에 서 언급되 였 다. 사실 암호방식 의 
보안은 열쇠의 길이와 암호문을 분석하는데 드는 계산작업에 관계된다. 원리적으로 볼 
때 암호분석 을 저지시키 는데서 전통암호와 공개열쇠암호중에서 어느것 이 더 우월하다고 
월수 g 다、 

다음 잘못된 견해는 공개 열쇠암호가 전통암호를 낡아 지게 하는 보편적 기술이 라는것 
이 다. 이 와는 반대 로 현재 공개 열쇠암호방식 의 계 산량적 부하때 문에 전통암호를 그만두게 
될 것 이 라는 예 측은 없 어 보인다. 공개열쇠암호창시 자의 한사람이 내 놓은바와 같이 (참고 
문헌 [ DIFF 88]) 《공개열쇠암호의 열쇠관리와 서명에서의 제한성은 거의 보편적으로 인정 
되고 있 다》. 

마지 막으로 전통암호를 리 용할 때 의 열쇠 배 포쎈터 와의 시 끄러 운 접 촉을 공개열쇠암 
호를 리용할 때에는 열쇠배포가 간단해 졌다고 하는 생각이다. 사실은 일반적으로 중개 
대 리 인을 포함할것 을 요구하며 포함된 절 차는 전통암호에 서 요구되 는것 보다 간단하거 나 
더 효과적 인것 이 못되 는 규약들이 필 요하다(참고문헌 [ NEED 78] 의 분석 을 보시 오) . 

이 장에서는 공개열쇠암호를 개괄한다. 우선 그의 개념적구조를 본다. 흥미 있는것 
은 이 기 술들을 채 용하여 실 천적 이라는것 을 보여 주기 도전에 그것 이 개 발되 여 발표된것 
이 다. 다음으로 공개열쇠암호가 가능하다는것 을 보여 주는 가장 중요한 암호화/복호화알 
고리듬인 RSA 알고리듬을 설명한다. 그다음에는 디피-헬만 ( Diffie - Hellman ) 의 열쇠교환 
에 대한 론의를 포괄한 공개열쇠체계의 열쇠관리 및 배송을 설명한다. 마지막으로 타원 
곡선암호에 대 한 초보를 취급한다. 
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공개열쇠암호체계에서 대부분의 리론은 수론에 기초하고 있다. 이 장에서 취급하는 
내용들을 리해하는데 반드시 수론의 지식이 필요한것은 아니다. 그러나 공개열쇠알고리 
듬에 대한 보다 완벽한 습득을 위해서는 수론의 지식이 요구된다. 7장에서는 이것을 개 
괄한다. 


6.1 공개열쇠암호체계의 원리 

공개열쇠암호는 전통암호에서 제 기되는 가장 어 려운 문제들중 2가지를 해결하기 위 한 
시도로부터 발족하였다. 첫번째 문제는 열쇠배포인데 5장에서 구체적으로 설명하였다. 

거기 에서 본바와 같이 전통암호에 의한 열쇠배포는 두 통신자가 (1) 자기들에게 배 
송될 열쇠 를 이 미 공유하거 나 (2) 열쇠 배 포쎈터 를 리 용할것 을 요구한다. 공개열쇠암호창 
시 자의 한 사람인 디 피 ( Diffie ) 는 두번째 요구가 암호학의 본질 즉 자기 자신의 통신에서 
총적안전성을 보장하는 능력을 부정한다고 생각해 내 였다. 디피는 문헌 [ DIFF 88] 에서 다 
음과 같이 서술하였다.《암호체계의 사용자들이 자기의 열쇠를 할수 없이 공유하게 되여 
침 입 자에 의해 손상당할바에 야 손상된 KDC 를 공유하는데 집 중하였 다면 신성 불가침 인 
암호체계를 개발하는것이 무엇에 필요한 일인가?》 

디피 가 제기 한 두번째 문제는 열쇠배포와는 관계 없는《수자서명》이 다. 암호를 군 
사분야에서만이 아니라 상업적 및 개인적목적으로 널리 리용한다면 전자편지와 문서들에 
도 종이 문서 에 서 리 용되 는것 과 갈은 수표 (서 명 ) 가 필 요하게 된 다. 즉 수자서 명 이 특정한 
사람에 의 해 보내 졌 다는것 을 모든 사람들이 알수 있도록 규정하는 방법 을 만들수 있는가 
이것은 인증보다 좀 더 넓 은 요구이며 그 특징 과 차이 를 10장에서 설명한다. 

디피 -헬 만이 1976년 에 수천 년동안 내 려 오던 암호학에 관한 선행한 모든 방식 과 
는 근본적으로 다르며 우의 두 문제 에 답을 주는 방법을 제기함으로써 돌파구를 열 
어 놓았다. 

다음의 소제 목에서 는 공개열쇠암호의 전면적 인 구조를 본다. 그다음에 이 방식 의 중 
심 인 암호화/복호화알고리 듬에 대 한 요구를 설 명한다. 

공개열쇠암호체계 

공개열 쇠알고리 듬은 하나의 암호화열 쇠 와 그와는 다르지 만 관련되 는 복호화열 쇠 에 
의 거한다. 이 알고리 듬은 다음과 같은 중요한 특성 을 가진 다. 

• 암호알고리 듬의 지식과 암호화열쇠만으로는 복호화열쇠 를 구하는것 이 계산량적 
으로 불가능하다. 

그외에도 RSA 와 같은 일부 알고리듬은 또한 다음과 같은 특성 이 있다. 

• 2개의 관련되 는 열쇠중 임의의 하나를 암호화에，다른것 을 복호화에 리용할수 
있 다. 

그림 6-1 의 1( 그림 2-1) 은 공개열쇠암호화과정을 보여 준다. 기본단계는 다음 
과 갈다. 
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망의 매 말단체계는 통보문의 암호화와 복호화에 쓰일 열쇠쌍을 생성한다. 

매 체계는 자기의 암호화열쇠를 공개등록기나 파일에 등록함으로써 그것을 공개 
한다. 이것이 공개열쇠이다. 다른 하나의 열쇠는 비밀로 간수한다. 

A 가 B 에 게 통보문을 보내 려 고 한다면 B 의 공개열쇠 를 러 용하여 통보문을 암호 
화한다. 

B 가 통보문을 받았을 때 그것을 자기의 비밀열쇠를 리용하여 복호화한다. 오직 
B 만이 자기의 비밀열쇠를 알므로 다른 수신자는 통보문을 복호화할수 없다. 



암호화알고리 듬 
(즉 RSA) 


복호화알고리듬 (암호화알 
고리듬의 역알고리듬) 



암호 



니 인증 


그림 6-1. 공개 열쇠암호 



















































이 방식에서 모든 가입자들은 공개열쇠를 참조하며 비밀열쇠는 매 가입자에 따라 국 
부적으로 생성되므로 결코 배송할 필요는 없다. 체계가 자기의 비밀열쇠를 소유하고 있 
는 동안 자신과 진행하는 통신은 안전하다. 임의의 시각에 체계는 자기의 비밀열쇠를 변 
경하여 그에 따르는 공개열쇠를 공개함으로써 낡은 공개열쇠와 교체한다. 

표 6-1 에 는 전통암호와 공개열 쇠암호의 중요한 내 용의 일 부를 제 시하였 다. 둘사이 
를 식 별 하기 위하여 일 반적 으로 전통암호에서 리 용된 열쇠 를 전통비 밀열쇠 간단히 비 밀 
열쇠라고도 하며 공개열쇠암호에서 리용된 두 열쇠를 각각 공개열쇠, 비밀열쇠라고 한 
다(다음의 표식들을 이 책전반에 걸쳐 모순 없이 리용한다. 전통비밀열쇠를 K m 으로 표시 
한다. 여 기서 m 은 어 떤 변경 자이 다. 가령 K s 는 대 화열쇠 이 다. 사용자 A 의 공개열쇠를 
KU a 로, 대 응하는 비 밀열쇠 를 뜨&로 표시한다. 평문 P 의 암호화를 각각 E Km ^1. 
E KUa _ 및 EkrJP ] 로 표시한 전통비밀열쇠，공개열쇠 및 비밀열쇠로 진행할수 있다. 
류사하게 암호문 C 의 복호화를 각각 D Km [C], D KUa [C] 및 [어 로 표시 한 전통비 

밀 열쇠，공개열쇠 및 비 밀 열쇠 로 진행할수 있 다) . 

표 6-1. _ 전통암호와 공개 열쇠암호 _ 


전통암호 

다음의 작업이 요구된다. 

1. 암호화와 복호화에 같은 알고리듬과 
갈은 열쇠가 리용된다. 

2. 송수신자는 알고리듬과 열쇠를 공유 
한다. 

보안을 위해 요구되 는것 은 다음과 갈다. 

1. 열쇠를 비밀로 간수해야 한다. 

2. 다른 정 보를 리용하지 않는 한 통보문 
을 분석하는것은 불가능하거나 비현실 
적 이여야 한다. 

3. 알고리듬의 지식+암호문의 견본만으 
로는 열쇠를 구하는것이 불가능해야 
한다. 


공개열쇠암호 

다음의 작업이 요구된다. 

1. 하나의 열쇠쌍 즉 암호화열 쇠 와 복호 
화열 쇠 로 암호화와 복호화를 위해 하 
나의 알고리듬이 리용된다. 

2. 송수신자는 관련된 열쇠쌍(갈지 않은): 
중의 하나를 가지고 있어야 한다. 

보안을 위해 요구되 는것 은 다음과 갈다. 

1. 두 열쇠중의 하나는 비밀로 간수되 여 
야 한다. 

2. 다른 정 보를 리용하지 않는 한 통보문 
을 분석하는것은 불가능하거나 비현실 
적 이여야 한다. 

3. 알고리듬의 지식+하나의 열쇠+암호문 
의 견본만으로는 다른 열쇠를 구하는 
것 이 불가능해 야 한다. 


그림 6-2( 그림 2-2 와 비 교하면서 )를 리용하여 공개열쇠암호방식 의 본질 적 요소들을 
좀더 구체적 으로 고찰하자. 평문통보문 X=[Xi，X 2> …… ,X M ] 을 내보내는 어떤 통보문 
원천지 A 가 있다. 표의 M 개 요소들은 어떤 유한자모의 문자들이다. 통보문은 목적지 B 
에로 전달된다. B 는 관계되는 열쇠쌍 즉 공개열쇠 KU b 와 비밀열쇠 KR b 를 생성한다. 
KR b 는 B 만이 알고 있지만 KU b 는 공개적 으로 알수 있으므로 A 가 참조할수 있다. 

입구가 통보문 표와 암호화열쇠 KU b 일 때 A 는 암호문 Y=[ Yi ,Y 2 , …… ,Y 서을 
다음과 같이 만든다. 


Y=E KUb ⑵ 
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그림 6-2. 공개 열 쇠 암호체 계 (안전성 ) 


대 응하는 비 밀 열쇠 를 소유하고 있는 수신자는 다음과 갈은 반대변환을 한다. 


구를 관측하고 KU b 를 참조하지만 KR b 나 표를 참조하지 못하는 적은 X 또는 KR b 
혹은 둘 다 얻으러고 시도해야 한다. 적은 암호화알고리듬任)과 복호화알고리듬(이의 
지식 이 있다고 가정한다. 적 이 오직 이 특별한 통보문에만 관심을 가진다면 노리는 초점 
은 평문근사 文 을 생성함으로써 표를 얻 으려는데 둔다. 그러 나 때때 로 적은 근사 KR b 
를 생 성하여 KR b 를 얻 으러 고 하는 경우에 는 물론 미 래의 통보문을 읽 는데 관심 이 있을 
것이다. 

2개 의 관련된 열쇠 중 어 느 하나는 암호화에，다른것 은 복호화에 리용된다는것 을 이 
미 강조하였다. 이것은 오히 려 각이한 암호방식을 실현할수 있게 한다. 그림 6-2 에서 보 
여 준 방식 이 기 밀성 이 된다면 그림 6-1 의 l 과 그림 6-3 은 다음과 같이 공개열쇠암호를 
리용하여 인증하는것을 보여 준다. 


Y=E KRa 


( X ) 


X=D 


KU a 


( Y ) 


이 경우에 A 는 B 에게 통보문을 전송하기전에 A 의 비밀열쇠를 리용하여 그것을 암 
호화한다. 묘는 A 의 공개열쇠 를 리 용하여 통보문을 복호화한다. A 의 비밀 열쇠 를 리 용하 
여 통보문을 암호화하였으므로 오직 A 만이 통보문을 준비하였다. 그러므로 완전히 암호 
화된 통보문이 수자서명으로서 종사한다. 그외에 A 의 비밀열쇠를 참조함이 없이 통보문 
을 변경하는것은 불가능하다. 그래서 통보문은 원천지 그리고 자료완정성에 의하여 인증 
된 다. 
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선행한 방식에서는 주제와 내용을 둘 다 타당하게 한다고 할지라도 아주 많은 기억 
기를 요구하는 통보문을 완전히 암호화해야 한다. 매 문서는 실천적목적을 위해 쓰이는 
평문속에 간수되여야 한다. 또한 복사는 암호문속에 기억되며 원본과 내용을 대조하여 
검증할수 있어 야 한다. 갈은 결과를 얻기 위 한 보다 효과적 인 방법은 문서들의 함수인 
좀더 작은 블로크들을 암호화하는것이다. 인중자라고 하는 이런 블로크는 인증자를 변경 
함이 없이 문서를 변경하는것은 불가능하다는 속성을 가져야 한다. 인증자를 송신자의 
비밀열쇠로 암호화하면 그것은 원본，내용 그리고 렬을 검증하는 서명으로서 종사한다. 
10장에 서 는 이 기 술을 구체 적 으로 설 명한다. 

여기서 서술한 암호화처리가 기밀성이 없다는것을 강조하게 된다. 즉 보내는 통보문 
은 변경으로부터는 안전하지만 도청으로부터는 그렇치 못하다. 이것은 통보문의 나머지 
가 명백하게 전송되므로 통보문의 일부분에 기초한 서명인 경우에 명백하다. 지어 그림 
6-3 에서 보여 준바와 같이 완전한 암호화의 경우에 는 임의 의 관측자가 송신자의 공개열 
쇠를 리용하여 통보문을 복호화할수 있으므로 기밀성이 없다. 

그러나 다음과 같이 공개열쇠방식의 중복리용에 의하여 인증기능과 기밀성을 둘 다 
할수 있다. (그림 6-4) 


Z=E KUb 粧미 (X)] 

X=D KUa [D^ (Z)] 

이 경 우에 는 송신자의 비밀 열쇠 를 리용하여 통보문을 암호화하는것 으로부터 시 작한 
다. 이것은 수자서명 을 제공한다. 다음으로 수신자의 공개열쇠를 리용하여 다시 암호화 
한다. 최종적 인 암호문을 오직 관계되는 수신자만이 복호화할수 있는데 그에게만 대 응하 
는 비 밀열쇠 가 있다. 이 리하여 비밀 이 담보된다. 이 방식 의 불합리성 은 공개열쇠알고리 
듬이 복잡하며 매 통신에서 두번이 아니라 네번 동작시켜야 하는것이다. 

공개열쇠암호체계의 응용 

설명 하기 전에 혼동을 피 하기 위하여 공개열쇠암호의 한가지 내 용을 명백 히 해 야 할 
필요가 있다. 공개열쇠체 계 는 두 열쇠 즉 비밀열쇠 와 공개열쇠 를 가진 암호론적형 태의 
알고리듬의 리용에 의해 특징 지어 진다. 응용과 관련하여 송신자는 자기의 비밀열쇠 또 
는 수신자의 공개 열쇠를 리용하거 나 일정한 형태의 암호론적기능을 수행 하기 위 하여 둘 다 
리 용한다. 넓 은 의미 에서 공개열쇠암호체계의 리용을 다음과 같이 세 가지 로 분류할수 있 
다. 


• 암호화/복호화: 송신자는 수신자의 공개열쇠 로 통보문을 암호화한다. 

• 수자서명 : 송신자는 자기의 비밀열쇠로 통보문에 《서명》한다. 서명은 통보문에 또 
는 통보문에 관한 함수인 작은 자료블로크에 적 용된 암호론적알고리 듬에 의해 달성 
된 다. 

• 열쇠교환:두 측은 협동하여 대화 또는 접촉열쇠를 교환한다. 하나 또는 둘 다의 비 
밀열쇠를 포함하는 여러가지 방식들이 가능하다. 
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어떤 알고리듬은 3개의 응용에 다 적합하지만 다른것들은 이 응용들중 둘 또는 
§•될수 있다. 표 6-2 는 이 책에서 론의된 알고리듬이 지원하는 응용들을 보여 준다 


공개열쇠암호의 요구 

그림 6-2 로부터 6-4 까지에서 보여 준 암호체 계는 두개의 관련된 열쇠들에 
1■적알고리듬에 의존하고 있다. 디피와 헬만은 이 런 알고리듬이 존재함을 밝 
체계를 주장하였다. 그러나 그들은 이런 알고리듬이 완전하게 되여야 한다- 















같은 조건을 내놓았다 [ DIFF 76 b ]. 

표 6-2. 공개 열 쇠암호체 계 의 응용 


알고리듬 

암호화/복호화 

수자서명 

열쇠 교환 

RSA 

예 

예 

예 

디 피-헬 만 

아니 

아니 

예 

DSS 

아니 

예 

아니 


1. B 측이 쌍(공개열쇠 KU b , 비 밀 열쇠 KR b ) 을 생 성하는것 은 계 산량적 으로 간 
단하다. 

2. 공개열쇠 와 암호화할 통보문 M 을 아는 송신자 A 가 대 응하는 암호문 


을 생 성하는것 은 계 산량적 으로 간단하다. 

3. 수신자 B 가 원래의 통보문을 얻 기 위한 비밀열쇠 를 리 용하여 다음과 같이 암호 
문을 복호화하는것은 계산량적 으로 간단하다. 

M = D KRb (0=1)^ [ E KUb _ 

4. 공개열쇠 KU b 를 아는 적 이 비 밀 열쇠 KR b 를 구하는것 은 계 산량적 으로 불가능 
하다. 

5. 공개열쇠 KU b 와 암호문 C 를 아는 적 이 원래 의 통보문 M 을 엄 는것 은 계 산량적 
으로 불가능하다. 

비 록 유용하다 할지 라도 모든 공개열 쇠 응용에 는 필 요하지 않은 6번째 요구를 다음 
과 같이 보충할수 있다. 

6. 암호화와 복호화함수를 다음과 같이 임의의 순서로 적용할수 있다. 즉 

M = E KUb [ D ^ _ 

공개열쇠암호의 개념이 제안된 때로부터 몇십년이 되도록 오직 이런 알고리듬하나 
만이 널리 접수되였다는 사실로부터 알수 있는바와 같이 이것은 간단치 않은 요구이다. 

왜 이런 요구가 그렇게 간단치 않은가를 설명하기전에 우선 그것을 다시 고찰하자. 
이 요구들은 한방향락호함수를 필요로 한다. 한방향함수는 1:1함수이고 정방향계산은 쉽 
지 만 역 방향계 산은 불가능하다(한방향하쉬함수와 혼돈하지 말아야 한다. 한방향하쉬함수 
는 인증에 리용되 는데 (8 장) 그것 은 임의의 자료부분을 인수로 취 하여 어 떤 고정된 출구 
에로 넘긴다). 즉 


Y = f ( X ) 쉽다 
x = r 1 ( Y ) 불가능하다 


일반적으로 쉽다는것은 입력길이에 관한 함수로서 


다항식시간내에 풀수 있는 문제 
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를 의미한다. 이 리하여 입 력길이가 iibit 이면 함수를 계산하는 시 간은 刀 a 에 비 례한다. 
여기서 a 는 고정된 상수이다. 이런 알고리듬을 클라스 모에 속한다고 한다. 용어 《불가 
능하다>는 대단히 모호한 개념이다. 일반적으로 어떤 문제를 풀기 위한 시간이 입력크기 
에 관한 함수로서 다항식시간보다 빨리 성장하면 그 문제는 불가능하다고 한다. 실례로 
입 력 길 이 가 nbit 이 고 함수를 계 산하는 시 간이 2 n 에 비 례하면 그 문제 는 불가능한것 으로 
고찰된다. 그런데 임의의 알고리듬이 이런 복잡성을 나타내는가를 결정하는것은 힘들다. 
그래서 계산복잡성에 대한 전통적인 개념은 알고리듬의 최악의 경우 또는 평균경우의 복 
잡성이다. 이런 요구는 최악의 경우가 아니라 평균경우조차도 실제적으로 모든 입력에 
대하여 반전하는것이 불가능한 암호학에서는 의의가 없다. 이런 개념들에 대한 몇가지 
간단한 결과를 부록 6에 주었다. 

이제는 한 방향으로 계산하는것은 쉽지만 어떤 보충적인 정보를 모른다면 다른 방향 
으로 계산하는것 이 불가능한 한방향락호함수를 정의하자. 보충적 인 정보를 가지고 역 방 
향은 다항식시간내에 계산될수 있다. 다음과 갈은것을 개괄할수 있다. 한방향락호함수는 

k 와 표가 알려 지면 Y = f k ( X ) 는 쉽다 

k 와 구가 알려 지면 X = f =( Y ) 는 쉽 다 

구는 알지만 요를 모르면 X = 는 불가능 

인 1:1함수 f k 들의 족이 다. 이 리하여 실천적 인 공개열쇠방식 의 개 발은 적 합한 한방향락 
호함수의 발견에 관계된다. 

공개열쇠암호의 분석 

전통암호와 마찬가지 로 공개열쇠암호방식 은 힘 내 기 공격 에 약하다. 대 응책 역 시 마찬 
가지 이 다. 즉 큰 열쇠 를 리 용한다. 그러 나 공개열쇠암호에 는 한가지 고려 해 야 할 난점 이 
있 다. 공개열쇠 체계 는 일종의 가역인 수학적함수의 리 용에 의존한다. 이 런 함수의 계산 
복잡성 은 열쇠 의 비 트수에 선형 적 으로가 아니 라 그보다 빨리 성 장한다. 이 리하여 열쇠 의 
크기 는 실천적 으로 힘 내기공격 이 불가능하도록 충분히 커 야 하지 만 실천적 인 암호화와 
복호화를 위해서는 충분히 작아야 한다. 실천에서 제기되는 열쇠의 크기는 실천적으로 
힘내기공격을 불가능하게 하지만 암호화/복호화의 결과는 일반목적으로 쓰는데는 너무 
금뜨게 나타난다. 그 대 신에 앞에서 언급한바와 같이 공개열쇠암호를 현재 열쇠 관리와 
서명에 적용하는것이 합리적이다. 

다른 한 형태의 공격은 공개열쇠가 주어 졌을 때 비밀열쇠를 계산하는 방법을 구하 
는것 이 다. 이 런 형 태 의 공격 이 특별 한 공개 열 쇠 알고리 듬에 대 하여 불가능하다는것 은 수 
학적 으로 증명 되지 않았다. 이 리하여 널 리 쓰이는 RSA 알고리 듬을 포함하여 임의의 주 
어 진 알고리듬이 의문에 불여 졌다. 암호분석의 력사는 하나의 관점으로는 풀수 없는것 
처럼 보이는 문제도 완전히 다른 각도에서 보면 풀이를 구할수 있다는것을 보여 준다. 

마지 막으로 공개열쇠체계 에 독특한 한가지 형 태의 공격 이 있는데 본질에 있어서는 
일정한 통보문공격이다. 실례로 56 bitDES 열쇠만으로 이루어 진 통보문을 보냈다고 가정 
하자. 적은 공개열쇠를 리 용하여 가능한 열쇠 모두를 암호화하고 전송된 암호문을 대조함 
으로써 임의의 통보문을 복호화할수 있다. 이 리하여 공개열쇠방식 에서 열쇠의 크기 는 문 
제로 되지 않으며 공격은 56 bit 열쇠에 대한 힘내기공격에 귀착된다. 이런 통보문에 어떤 
우연비트를 첨가함으로써 이 공격을 좌절시킬수 있다. 
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6.2 RSA 알고리듬 

디피와 헬만은 최초의 론문 [ DIFF 76 b ] 에서 암호학에 대 한 새 로운 방식 을 받아 들이 
였는데 사실상 공개열쇠체계에 대한 요구를 만족시키는 암호알고리듬은 암호학자들의 도 
전에 부딪쳤다. 이 도전에 대한 첫 응답중의 하나가 MIT 에서 리베스트，사미르, 아들레 
만 ( Rivest , Shamir , Adleman ) 에 의 하여 1977년에 개 발되였으며 1978년에 처음으로 출 
판되 였 다 [ RIV 78]. RSA 방식 은 공개 열쇠암호에 대 한 일 반목적 방식 을 유일 하게 광범 히 접 
수하고 실현하였으므로 가장 우수한것 이 다. 

RSA 방식 은 어 떤 자에 대 하여 평문과 암호문이 0과 «-1사이 의 옹근수인 블로크암호 
이다. 이 절에서는 알고리듬의 해석으로부터 시작하면서 좀 더 구체적으로 RSA 를 설명 
한다. 다음으로 RSA 의 계 산량적 및 암호분석 적따름을 설 명한다. 

알고리듬의 서술 

리 베 스트， 샤미 르，아들레만이 개 발한 이 방식 은 제 곱식 을 리 용한다. 평문은 블로 
크들로 암호화되며 매 블로크는 어떤 수 «보다 작은 2진값이다. 즉 블로크의 크기는 
log 2 («) 을 넘지 않는다. 실천에서 블로크의 크기는 2斗 it 이다. 여기서，<«<2씨이다. 
암호화와 복호화는 어떤 평 문블로크 M 과 암호문블로크 C 에 대 하여 다음과 같은 형 태 
를 가진다. 


C = M e mod n 

M = C d mod n = ( M e ) d mod n = M ed mod n 

두 송수신자는 ra 의 값을 알아야 한다. 송신자는 e 의 값을 알며 오직 수신자만이 d 의 
값을 안다. 이 리하여 이 것은 공개열쇠 KU ={ e ,«} 과 비밀 열쇠 KR = W , n } 인 공개열쇠알고 
리 듬이 다. 공개열쇠암호를 만족시 키 는 이 알고리 듬에 대 하여 다음과 같은 요구들이 성 립 
되여야 한다. 

1. 모든 M < «에 대 하여 = M mod n 인 e , d ， n 의 값들을 구하는것 이 가능하다. 

2. M < n 의 모든 값들에 대 하여 보 £ 와 C d 을 계 산하는것 이 상대 적 으로 쉽 다. 

3. £ 와 «이 주어 졌을 때 d 를 구하는것은 불가능하다. 

이제 첫 문제 에 집중하고 후에 다른 문제 들을 고찰하자. 

M ed = M mod n 

형태의 식을 구하는것이 필요하다. 

7장(식 7-7) 에서 제기된 오일레르정리의 따름은 다음과 같은 성질을 담보한다. 즉 
주어 진 두 씨수 p 와 상 그리고 n = pq 및 0< m < n 인 두 옹근수 n 과 m 그리고 임의의 옹근수 
쇼에 대하여 


m k ^ n)+l = m ^- 1)fe - 1)+1 ^ m mod n 

이 다. 여 기서 <|)( n ) 은 오일레 르함수 즉 «보다 작으면서 n 과 서 로 소인 정 의 옹근수의 수이 
다. 7장에 서 씨 수 p ， 상에 대 하여 (|>(;따) = (끄 - 1) (『1) 임 을 보여 준다. 이 리 하여 
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ed=k^ (n)+1 


이면 우리의 주장이 성립한다는것을 알수 있다. 이것은 다음의것과 동등하다. 


ed =1 mod 命(ᄍ) 
d - e~ x mod ^(n) 

즉 e 와 d 는 mod c |)( w ) 에 관하여 곱하기 에 관한 역 수이 다. 모드산수의 규칙 에 의 하여 
이것은 오직 d (따라서 e ) 가 파(«)과 서로 소일 때만 참이다. 동등하게 gcd (< K «)， 幻=1이다. 
이제는 RSA 방식을 정식화하여 보자. 구성요소는 다음과 같다. 


두 씨수 P ，q 
n=pq 

gcd((|)(n) ， e)=l 이 고 l < e <(|)(«) 인 e 
d = e 一 1 mod <)>(«) 


(비밀로 선택) 
(계산하여 공개) 
(선택하여 공개 ) 
(비밀로 계산) 


비밀열쇠는 W ， n } 이며 공개열쇠는 { e ， n } 이다. 사용자 A 가 자기의 공개열쇠를 공개 
하며 사용자 B 는 통보문 M 을 A 에게 보내 려 고 한다고 가정 하자. 이때 B 는 C = M e (mod 
„) 을 계산하여 C 를 전송한다. 이 암호문을 접수하면 사용자 A 는 M = C d (mod «) 을 계 
산하여 복호화한다. 

이 알고리 듬의 타당성 을 개 괄하는것 은 응당하다. 다음과 같이 e 와 납를 선택한다. 


d - e 1 mod <|>(n) 


그러므로 


ed si mod (|)(n) 


따라서 erf 는切 |)( n)+l 의 형태이다. 그런데 7 장에서 제기한 오일레르정리의 따름에 의 
하여 씨수 P 와 q, 옹근수 n = 께와 0< M < n 인 보이 주어 졌을 때 

M ^ (n)+1 = M 的” 1 )如 1)+1 = M mod n 

그래서 M ed = M mod « 이다. 이제는 

C = M e mod n 

M = C d mod n = ( M e ) d mod n = W d mod n s M mod n 

그림 6-5 는 RSA 알고리듬을 개괄한다. 그림 6-6 에서 실례를 보여 준다. 이 실례에 
대 한 열쇠 를 다음과 같이 생 성하였 다. 

1. 두 씨 수 p =7 과 상=17을 택 한다. 

2. «=/씨 =7 x 17=119 를 계산한다. 

3. (|)( wi =(/ 广 1) ( 公 - 1)=96 을 계산한다. 
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. (|)( n )=96 과 서 로 소이 며 c |)( n ) 보다 작은 e 를 택한다. 즉 e =5. 

. de=l mod 96이 고 d <96 인 d 를 구한다. 77 x 5=385=4 x 96+1 이므로 정확; 
이다. 



열 쇠 

생 성 

p ， q 를 택한다. 
n = pxq 를 계산한다. 


P 와 상는 둘 다 씨 수이 다. 

항 ( n ) = ( p - l ) 나- 1) 을 계산한다. 


옹근수 e 를 택한다. 


gcd ((|)( n ),^)= l ； l < e <^( n ) 

쇼를 계산한다. 


d = e~ l mod 命(效 5 

공개 열 쇠 


KU ={ e 9 ni 

비밀열쇠 


KR = { d , n } 



암호화 

평문 

M < n 

암호문 

C = M 6 (mod n ) 



복 호 화 

평문 

C 

암호문 

M = C d (mod n ) 


그림 6-5. RSA 알고리듬 



그림 6-6. RSA 알고리듬의 실례 


■ 과의 열쇠 들은 공개열쇠 KU ={5, 119} 와 비 밀 열쇠 KR ={77, 
】 력 M =19 에 이 열쇠 들을 리용한것 을 보여 준다. 암호화에 I 
r 2476099로 된 다. 119로 나누어 나머지를 구하면 66이 다. a 
암호문은 66이 다. 복호화에 대 하여 66 77 =19 mod 119를 구한 t 






계산량적관점 

이제 RSA 를 리용하는데 요구되 는 계 산복잡성 을 고찰하자. 실제 적 으로 열쇠 생 성과 
암호화/복호화의 두가지가 제기된다. 우선 암호화와 복호화처리를 고찰하고 그다음에 열 
쇠생성을 고찰한다. 

암호화와 복호화 

RSA 의 암호화와 복호화는 둘 다 모드 n 에 관한 옹근수제곱으로 제기된다. 제곱지 
수가 모드 지에 관하여 옹근수우에서 진행되면 중간값이 담보될것이다. 다행히도 다음과 
갈은 모드산수의 성질을 리용할수 있다. 


(a mod n)x(b mod n) mod «=( ax 公) mod n 


이리하여 mod « 에 관한 중간결과를 얻을수 있다. 

다른 하나는 RSA 가 큰 제곱지수를 취급하므로 제곱연산의 효과성을 고찰하는것 이 
다. 효과성 이 어떻게 증가되는가를 보기 위하여 x 16 을 계산하는것을 고찰하자. 간단한 
방식은 다음과 같이 15번 곱하는것 이 다. 

x 16 = xXxXxXxXxXxXxXxXxXxXxXxXxXxXxXx 

그러 나 련속적 으로 X 4 , 乂 6 을 이르는 매 부분결과의 2제곱을 반복적으로 취 하 

면 오직 4번의 곱하기만으로 같은 최종결과를 엄을수 있다. 

보다 더 일반적으로 a 와 정의옹근수 w 에 대 하여 값 을 구하려 고 한다고 가정 하자. 
m 을 2진수 fcA-i … 切으로 표현하면 다음과 같다. 

m 싱2， 

公 ,- ；느 0 


c <-0； d <-0 
for i 네 ownto 0 
do c<r-2xc 

d <- ( dxd ) mod n 
if b：=l 

then c—c+1 

d <- ( dxa ) mod n 

return d 

그림 6-7. a b mod « 을 계 산하는 알고리 듬 

그러므로 


a m = a 



- n« (2) 
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: [[a 公 ‘). mod n =]][a f2 

b^O b^O 


따라서 그림 6-7 에서 보여 준 Jmodn 을 계산하는 알고리듬을 개 발할수 있다(이 알 
고리듬은 오랜 력사를 가진다. 이 특별한 준부호식은 [ CORM 9()] 에 있다). 

그림 6-8 은 이 알고리 듬의 실행실례 를 보여 준다. C 는 필요 없다는것 을 강조한다. 
즉 그것은 보충적 인 목적에 쓰인다. C 의 최종값은 제곱지수의 값이 다. 


열쇠 생성 

공개열쇠암호체계를 적 용하기전에 매 가입 자는 열쇠쌍을 생성해 야 한다. 이것은 다 
음의 과제들을 포함한다. 

• 두 씨 수 p 와 q 를 구하기 

• e 와 d 중 하나를 택 하고 다른것 을 구하기 

우선 p 와 상의 선택을 고찰하자. n = pq ^\ 값이 유력 한 적에게 알려 지게 되므로 전면 
적인 방법으로부터 p 와 g 의 발견을 방지하기 위하여 이러한 씨수들은 충분히 큰 모임 (즉 
p 와 상는 큰 수이 여야 한다. ) 으로 선택 되 여 야 한다. 다른 한편 큰 씨수를 구하는데 리용 
된 방법은 효과적 이여 야 한다. 


i 

9 

8 

7 

6 

5 

4 

3 

2 

1 

0 

h 

1 

0 

0 

0 

1 

1 

0 

0 

0 

0 

c 

1 

2 

4 

8 

17 

35 

70 

140 

280 

560 

d 

7 

49 

157 

526 

160 

241 

298 

166 

67 

1 


그림 6-8. a fc modn 을 위한 고속모드제곱연산알고리듬의 결과 
a =7 功=560=1000110000, «=561인 경우 


현재 임의의 큰 씨수를 생성해 내는 적 합한 기술이 없으므로 이 문제 를 처 리하는 어 
떤 다른 수단이 요구된다. 일반적으로 리용된 절차는 요구된 크기의 홀수를 우연적 으로 
취하여 그 수가 씨수인지 아닌지를 검사하는것이다. 그렇지 않으면 취한 수가 씨수로 판 
단될 때까지 란수를 계속 취한다. 

씨수판정의 변종들이 개발되여 있다(즉 일련의 이런 변종으로서 KNUT 98 을 보시 
오) . 대 부분은 여 전히 그 판정 이 확률적 이라는것 이 다. 즉 이 판정 은 순전히 주어 진 옹 
근수가 확률적씨수임 을 결정한다. 이 렇게 확신성 이 결핍되 여 있음에도 불구하고 이 판정 
은 요구된것과 1.0 정도에 가까운 확률로 실행될수 있다. 실례로 보다 효과적이고 극적인 
알고리듬의 하나는 밀러-라빈 ( Miller - Rabin ) 알고리듬으로서 7장에서 설명한다. 이 알고 
리듬과 대부분의 이런 알고리듬들에 대하여 주어 진 옹근수 «이 씨수인가 아닌가를 판정 
하는 절 차는 n 과 어떤 우연적 으로 선택된 옹근수 a 를 포함하는 일 련의 계산을 진행하는 
것 이 다. «이 이 판정에 《실패》하면 «은 씨수가 아니 다. «이 이 판정을《통과》하면 n 
은 씨수일수도 있고 아닐수도 있다. a 토서 우연적으로 선택된 값에 대하여 이런 판정들 
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을 여 러 번 통과하면 사실상 «이 씨수일 가능성 이 높다. 

개괄하면 씨수를 포착하는 절차는 다음과 같다. 

1. 홀수 «을 우연적 으로 취 한다(즉 모조란수생성기를 리용하여). 

2. 옹근수 a<n 을 우연적 으로 취 한다. 

3. 밀러-라빈과 같은 확률적씨수판정을 진행한다. n 이 이 판정에 실패하면 «을 거 
부하고 단계 1로 이 행한다. 

4. n 이 충분한 회수의 판정을 통과하였다면 n 을 접수한다. 그렇지 않으면 단계 2에 
로 이 행한다. 

이 것 은 좀 지 투하다. 그러 나 이 처 리 는 새 로운 쌍 ( KU , KR ) 이 요구될 때 만 상대 적 으로 
드물게 진행 된다는것 을 상기하시 오. 

씨수를 발견하기전에 얼마나 많은 수들이 거부되는가를 론의할 가치가 있다. 씨수정 
리 로 알려 진 수론의 결과는 n 에 가까운 씨수는 평균적으로 매 ln ( AO 개 옹근수내 에 놓 
여 있다. 이리하여 씨수를 발견하기전에 평균적으로 ln ( AO 개 옹근수를 차례로 판정해야 
한다. 실제적으로는 모든 짝수들이 즉시에 거부되므로 정확한것은 ln ( A 0/2 이다. 실례로 
2™ 크기의 씨수를 람색하려고 한다면 대략 ln (2 2 TO )/2=70 개의 시행이 씨수를 발견하는데 
리 용될 것이다. 

씨수 p 와 q 를 결정 하면 열쇠 생성의 처 리는 e 의 값을 택 하고 d 를 계산 또는 반대 로 d 
의 값을 택하고 e 의 값을 계산하는것으로 완성된다. 전자를 가정 한다면 gcd (파 ( n ), e)=l 
인 e 를 택 한 다음에 d = e' 1 mod 파 ( n ) 을 계산할것을 요구한다. 다행 히 도 동시 에 두 수의 
최 대공통약수를 계 산하는 하나의 알고리 듬이 있어서 gcd 가 1이 면 한 옹근수를 모드로 
하여 다른 한 옹근수의 역수를 구한다. 확장된 유클리드알고리듬이 라고 하는 이 알고리 
듬은 7장에서 설명한다. 이 리하여 이 절 차는 파 («) 과 서 로 소인 수를 발견할 때 까지 
命어)과 매개를 판정하는 란수렬을 생성하는것 이 다. 다시 다음의 질문을 할수 있다. 리용 
가능한 수 즉 파 («) 과 서 로 소인 수를 구하기 위하여 얼 마나 많은 란수를 판정 해 야 하는 
가? 두 란수가 서로 소일 확률은 0.6 정도임을 쉽게 알수 있다. 이와 같이 적합한 옹근수 
를 구하는데는 극히 적은 판정이 요구된다(문제 7-1 을 보시오). 

RSA 의 보안 

RSA 알고리 듬을 공격하는 다음과 갈은 3개 의 가능한 방식 들이 있 다. 

• 힘 내 기 공격 : 이 것 은 가능한 비 밀 열 쇠 모두를 시 도하는것 이 다. 

• 수학적 공격 : 두 씨 수의 적 을 인수분해하는 품과 동등한 일 련의 방식 들이 있 다. 

• 시간공격: 이것은 복호화알고리듬의 실행시간에 의존한다. 

폭력방식에 대처한 방어는 다른 암호체계에서처럼 RSA 에서도 같다. 즉큰 열쇠공 
간을 리용한다. 이 리하여 e 와 d 의 비트수가 크면 콜수록 좋다. 그러 나 열쇠생성과 암호 
화/복호화를 둘 다 포함한 계산은 복잡하므로 열쇠의 크기가 콜수록 체계의 실행속도는 
떠진 다. 

아래 에서는 수학적공격 과 시 간공격 을 개 괄한다. 

인수분해문제 

RSA 를 수학적 으로 공격하는 방식 을 다음과 같이 3개 로 분류할수 있 다. 
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• 인수 W 을 2개의 씨 인수로 분해 한다. 이것은 d = e _1 (mod 파 ( n )) 을 구할수 있게 하는 
c |)( n ) = ( p - l ) x ( 公- 1) 을 계산할수 있다. 

• p 와 q 를 결정함이 없이 직접 파 («) 을 구한다. 이것은 다시 d = e ' 1 (mod 파(«))을 구할 
수 있 다. 

• 파 ( n ) 을 구함이 없이 직접 d 를 구한다. 

대 부분의 RSA 암호분석 자들의 론의 는 «을 두 씨 인 자로 분해하는 과제 에 집 중하였 다. 
주어 진 «에 대 하여 파 ( n ) 을 구하는것 은 n 을 씨 인수분해하는것 과 동등하다 [ RIBE 96]. 현 
재 알려 진 알고리듬에 대하여 주어 진 e 와 n 으로부터 를 구하는것은 적어도 인수분해 
문제와 같은 시간소비로 나타난다 [ KALI 95]. 따라서 인수분해성능을 RSA 의 보안을 평 
가하는 기준척도로 리용할수 있다. 

큰 씨인수들을 가지는 큰 n 에 대한 인수분해는 힘든 문제이지만 그것을 리용하는것 
만큼은 힘 들지 않다. 이 에 대 한 파괴실례는 다음과 같다. 1977년에 3명의 RSA 창시 자들 
은 암호문을 분석하는 독자들에 게 도전하였 다. 그들은 평 문의 복호에 100$의 상금을 제 
공하기로 하고 이것을 4천만년내에는 풀지 못할것으로 예언하였다. 1994년 4월 인터네트 
상에 서 작업하는 림 이 단지 8개 월동안 작업한 다음에 상금을 청 구하였 다. 이 도전에 는 
129자리의 10진수 즉 대략 428 bit 크기의 공개열쇠 (n 의 길이)를 리용하였다. 그동안에 그 
들은 바로 DES 로 하였으며 RSA 집 단은 100, 110, 120과 같은 자리수의 열쇠크기를 가진 
암호문에 도전하였다. 최후에 만난 도전은 130자리의 열쇠길이를 가진 RSA -130 도전이 
다 [ COWE 96]. 표 6-3 은 날자별 결 과를 보여 준다. 효과수준은 MIPS 년으로 측정 되 여 
있다. 즉 초당 100만개 처 리 기를 한해 에 실행하는것 으로서 대 략 3 xl 0 13 개 를 실행한다. 
200 MHz 의 Pentium 이 대 략 50 -MIPS 이 다. 

표 6-3 에서 파괴인자는 리용방법에 관계된다. 최근까지만 하여도 인수분해공격은 2 
차채법 이 라고 하는 방식 을 리용하였 다. RSA -130 에 대 한 공격 은 보다 새 로운 알고리 듬 
즉 일 반화된 수채채법 ( GNFS ) 을 리용하였 으며 다만 10%의 계 산효과로 RSA -129 보다 큰 
수를 인수분해할수 있 었 다. 


표 6-3. _ 인수분해과정 


십진자리 수 

대 략비 트수 

달성 날자 

MIPS 년 

알고리듬 

100 

332 

1991.4 

7 

2차채 법 

110 

365 

1992.4 

75 

2차채 법 

120 

398 

1993.6 

830 

2차채 법 

129 

428 

1994.4 

5000 

2차채 법 

130 

431 

1996.4 

500 

일반화된수체채법 


열쇠크기 가 커 질수록 두가지 문제 즉 계산능력의 증가와 인수분해알고리듬의 개선이 
제기된다. 여러가지 알고리듬에로의 이동은 매우 높은 속도로 결과를 나타낸다는것을 보 
았다. GNFS 로 보다 새 로운 개 선을 기 대할수 있으며 따라서 좋은 알고리 듬을 리 용할수 
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있 다. 사실상 관련된 알고리 듬 즉 특수한 수채 채법 ( SNFS ) 은 일 반화된 수채채법 보다 상 
당히 빨리 특수한 형 태의 수를 인수분해할수 있다. 그림 6-9 에서는 두 알고리 듬의 성능 
을 비 교하였 다. 일 반적 인 인수분해 성 능이 대 략 SNFS 와 같다는 사실을 기 대할수 없게 
되 였 다 [ ODLY 95]. 이 리 하여 RSA 의 열 쇠 크기 를 택 하는데 주의 를 돌려 야 한다. 가까운 
앞날에 1024〜 2048 bit 까지의 령 역 에서 열쇠 크기 가 합리 적 일것 으로 추측된다. 

지의 크기를 설명하는것외 에 일련의 다른 제 한들이 제 기되 였다. 보다 쉽게 인수분해 
될 수 있 는 n 의 값을 피 하기 위 하여 알고리 듬의 제 창자들은 p 와 요에 대 하여 다음과 같은 
제 한을 제 기하였 다. 

1. p 와 q 는 오직 몇개 수자들만이 차이난다. 이 리하여 p 와 q 는 둘 다 10 75 부터 
10■까지의 정도이다. 

2. 切-1)과 (상- 1) 은 둘 다 큰 씨인수를 가진다. 

3. gcd ( p - l , 상- 1) 은 작다. 

이외에도 e < n 이고 ᆻ n 1/4 이면 d 를 쉽게 구할수 있다 [ WIEN 90]. 

시간공격 

암호학적알고리 듬의 보안을 론하는것 이 얼 마나 어 려 운가에 대 한 다른 한가지 고찰이 
요구된다면 그것 은 시 간공격 의 출현이 다. 파울 코커 (Paul Kocher ) 는 를퓨터 가 통보문을 
분석하는데 얼마나 오랜 시간을 소비하는가를 측정하여 비밀열쇠를 구하는것을 보여 주 
었 다 [ KOCH 96]. 시 간공격 은 RSA 에 는 적 용할수 없 으나 다른 공개열쇠암호체 계 에 적 용 
할수 있다. 이 공격은 두가지 리유로 하여 경보를 울린다. 그것은 임의의 방향에서 들어 
오며 암호문전용공격 이 기 때 문이 다. 

시 간공격 은 어 떤 사람이 수자에 서 수자에 로 다이얄을 얼 마나 오래 동안 돌리 는가를 
관측함으로써 안전성의 조합을 알아 맞추는 도적과 류사하다. 그림 6-7 의 모드제곱연산 
알고리 듬을 리 용하여 이 공격 을 설 명할수 있 다. 그러 나 이 공격 은 고정 된 시 간내 에 는 실 
행하지 못하는 임의의 실현으로 작업 하는것을 갱 신할수 있다. 이 알고리 듬에서 모드제곱 
연산은 매 반복에서 실행된 하나의 곱하기와 매 lbit 에 대하여 실행된 보충적인 곱하기 
에 의하여 비트별로 달성된다. 

코커 가 자기 론문에 서 이 공격 은 극단한 경 우에 리 해하는것 이 가장 단순하다는것 을 
강조하였다. 목표체계가 거의 모든 경우에는 아주 빠르지만 일부 경우에는 완전한 평균 
모드제곱연산보다 더 많은 시간을 취하는 모드곱하기함수를 리용한다고 가정하자. 이 공 
격은 제일 왼쪽비트 부터 시작하여 비트별로 진행된다. 첫 j 개 비트를 안다고 가정하 
자(완전한 제곱지수를 구하기 위 하여 j =0 부터 시작하여 완전한 제곱지수를 알 때까지 공 
격 을 반복한다). 주어 진 암호문에 대 하여 공격 자는 for 순환의 첫 j 개 반복을 완성 할수 
있다. 그다음단계의 조작은 미지의 통보문비트에 의존한다. 비트가 설정되면 d <-( dXa ) 
modn 을 실 행 할것 이 다. a 와 d 의 값에 대 하여 모드곱하기 는 매 우 느리 며 공격 자는 그것 이 
어느것인가를 안다. 그러므로 이 특별한 반복이 lbit 로 늦어 질 때 복호화알고리듬을 실 
행하는데 관측된 시 간이 항상 느리 면 이 비 트는 1이 라고 가정한다. 완전한 알고리 듬에 
대 하여 일 련의 관측된 시 간이 빠르면 이 비 트는 0이 라고 가정한다. 
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그림 6-9. 인수분해 에 요구되는 MIPS 년 


실천에서는 모드제곱연산의 실현이 어떤 극적인 시간변화를 가지지 않는데 한 
실행시 간은 완전한 알고리 듬의 평 균실행시 간을 릉가할수 있다. 그럼 에도 불구하 
!이 현실적 인것 으로 되 도록 하는 충분한 변종이 있다. 구체 적 인것은 [ KOCH 1 

I 오. 

시간맞추기공격이 심각한 위협이라고 할지라도 다음과 같은것을 포괄하여 리질 
: 단순한 대응책 이 있다. 

불변지 수시 간 : 모든 제 곱연산들은 결 과를 귀 환하기전에 갈은 량의 시 간을 취 
이것은 단순한 고정이지만 성능을 저하시킨다. 

불규칙지연 : 보다 좋은 성능은 시 간맞추기공격 을 혼동시키는 제 곱연산알고리 듬 
규칙 지연을 첨 가함으로써 달성 될수 있 다. 코커 는 방어 자가 충분한 잡음을 제 > 
않으면 공격 자는 여 전히 불규칙 지연을 보상하는 보충적 인 측정 을 수집 함으로써 
한다는것을 강조하였다. 




• 현혹시키기: 제곱연산을 진행하기전에 란수로 암호문을 곱한다. 이 처리는 어느 암 
호문비트가 콤퓨터 내부에서 처 리되는가를 알아 내 려는데 로부터 공격 자를 방지 하므로 
시 간맞추기 공격 에 서 본질적 인 비 트별 분석 을 방지 한다. 

RSA 자료보안은 현혹적인 기능들을 그의 적(곱하기)들로 병합한다. 공개열쇠연산 
M = C d mod « 은 다음과 같이 실현된다. 

1. 0과 w _ l 사이 의 비 밀 란수 r 를 생 성한다. 

2. C ’ = C Te mod «을 계산한다. 여기서 e 는 공개제곱지수이다. 

3. 보통의 RSA 실현으로 M r = ( CO d mod « 을 계산한다. 

4. M = M ' r _1 modra 을 계산한다. 이 식에서 시은 mod «에 관한 r 의 곱하기 역수이 
다. 이 개념에 대한 론의는 7장을 보시오. 이것은 r ed mod n = r mod « 을 관측 
함으로써 정확한 결과라는것을 보여 줄수 있다. 

RSA 자료보안은 현혹적인것에 대하여 2〜10%의 성능벌칙을 기록한다. 


6.3 열쇠관리 

5장에서 비밀열쇠의 배송문제를 설명하였다. 공개열쇠암호의 중요역할의 하나는 열 
쇠 배 포문제 를 해 결 하는것 이 다. 여 기 에 는 실 제 적 으로 다음과 같은 공개 열 쇠 암호의 리 용에 
관한 두가지 각이한 관점 이 있 다. 

• 공개열쇠의 배송 

• 공개열쇠암호를 비밀열쇠배포에 리용 
이것 을 실제 로 설명하여 보자. 

공개열쇠배포 

공개열쇠배포를 위한 일련의 기술들이 제기되였다. 실제적으로 이런 제의모두를 다 
음과 갈은 일반방식으로 종합할수 있다. 

• 공개적인 발표 

• 공개적으로 리용할수 있는 목록 

• 공개열쇠 책임자 

• 공개열쇠확인 


공개열쇠의 공개 적 인 발표 

이 측면에서 공개열쇠암호의 특징은 공개열쇠 가 공개적 이 라는것 이 다. 이 리하여 
RSA 와 같이 어떤 방대하게 접수된 공개열쇠알고리 듬이 있다면 임의의 가입 자는 자기의 
공개열쇠 를 임 의의 다른 가입 자에 게 보내거 나 그것 을 대 중에 게 상세하게 발표할수 있다 
(그림 6-10). 실례 로 RSA 를 리 용하는 PGPC 12 장에 서 론의 한다.)의 급격 한 류행 때 문에 
많은 PGP 사용자들은 USENET 직결토론회 나 인터네트우편목록과 같은 공개 토론회 에 보 
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내는 통보문에 자기의 공개열쇠를 첨가하는 방식을 리용하였다. 

이 방식이 편리하다고 할지라도 중요한 약점을 가지고 있다. 즉 임의의 사람들이 이 
런 공개적 인 발표를 위조할수 있다. 다시말하여 어떤 사용자가 사용자 A 이 라고 가정하 
고 공개열쇠 를 다른 가입 자에 게 보내 거 나 이 런 공개열쇠 를 광고할수 있다. 사용자 A 가 
위조를 발견하고 다른 가입 자들에게 경고를 울릴 때까지 위조자는 A 에게 오는 모든 암 
호화된 통보문들을 읽을수 있으며 인증을 위한 위조된 열쇠를 리용할수 있다(그림 6-3 을 
보시오). 

공개적으로 리용할수 있는 등록부 

공개적으로 리용할수 있는 공개열쇠들의 동적목록을 관리함으로써 보다 큰 보안을 
달성할수 있 다. 공개열 쇠 목록의 관리 와 배 송은 어 떤 신용실 체 나 조직 이 책 임 져 야 한다 
(그림 6-11). 이런 방식은 다음과 같은 요소들을 포함할것이다. 

1. 책임자가 매 가입자에 대하여 {이름，공개열쇠}실체들로 이루어 진 목록을 관리 
한다. 

2. 매 가입 자는 목록책 임 자에 게 공개 열 쇠 를 등록한다. 등록은 공개 적 이 여 야 하거 나 
어떤 형 태의 비밀로 인증된 통신에 의해 진행 되 여 야 한다. 




그림 6-11. 공개열쇠공개(발표) 
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3. 가입 자는 임의의 시각에 새 로운 열쇠 로 이미 존재 하는 열쇠를 교체할수도 있다. 
왜 냐하면 이 미 다량의 자료들에 리 용된 공개열쇠 를 교체할것 을 요구하거 나 대 응 
하는 비 밀 열쇠 가 어 떤 방식 에 의해 손상되 였기 때 문이 다. 

4. 책 임 자는 주기 적 으로 목록전부를 공개하거 나 목록을 갱 신한다. 가령 전화번호책 
과 갈은 하드복사판이 공개 되 며 광범히 류통되 는 신문에 렬 거하여 갱 신된 다. 

5. 가입 자는 또한 전자적 으로 목록을 참조한다. 이 목적 을 위하여 책 임자로부터 가 
입자에로의 안전하며 인증된 통신은 명령적이여야 한다. 

이 방식 은 분명 히 개 별적 인 공개 적발표보다 안전하지 만 아직 약점 들이 있 다. 적 이 
목록책 임 자의 비밀열쇠를 얻 으러 고 하거 나 계산하려 고 한다면 적은 위 조된 공개열쇠 를 
책임적으로 통과시키고 그다음에는 계속하여 어떤 가입자의 역할을 하며 임의의 가입자 
에 게 보낸 통보문을 도청할것 이 다. 같은 결 과를 달성하는 다른 하나의 방법 은 적 이 책 임 
자가 가지 고 있는 레 부호를 자의 대 로 수정하는것 이 다. 

공개 열쇠책 임 자 

목록의 공개열쇠 를 배 송하기 위한 엄격한 규정 을 주면 공개열쇠배 포를 위한 강한 
보안을 달성할수 있 다. 전형 적 인 씨 나리오를 [POPE79)^： 그림 에 기 초한 그림 6-12 로 
보여 준다. 앞에 서 와 같이 이 씨 나리 오는 중앙책 임 자가 모든 가입 자들의 공개열쇠 들의 
동적 목록을 관리 한다고 가정한다. 그외 에 도 매 가입 자는 책 임 자의 공개열쇠 를 확고히 알 
며 오직 책임자만이 대응하는 비밀열쇠를 안다. 다음과 같은 단계들이 있다(그림 6-12 에 
서 번호로 표시된것). 

1. A 는 묘의 현재 공개 열 쇠 에 대 한 요구를 가지 고 있 는 공개 열 쇠 책 임 자에 게 일 부인 
있는 동보문을 보낸다. 

2. 책 임 자는 자기 의 비 밀 열쇠 KR auth 을 리용하여 암호화된 통보문으로 응답한다. 
이 리하여 A 는 책 임 자의 공개열쇠 를 리 용하여 통보문을 복호화할수 있 다. 따라 
서 A 는 통보문이 책 임자에 의해 발생되였음을 확신한다. 통보문은 다음과 같은 
것들을 포괄한다. 

• A 가 B 에 게 보내 는 통보문을 암호화할수 있 는 묘의 공개열 쇠 KU b 

• A 가 대 응하는 앞의 요구와 이 응답을 대 조하며 원래 의 요구가 책 임 자에 의해 
접수되기전에는 경고가 울리지 않음을 검증하는 원래의 요구 

• 원래의 일부인. 그래서 A 는 묘의 현재 공개열쇠 만이 아니 라 다른 열쇠 도 포 
함하고 있는 책 임자로부터 오는 낡은 통보문이 이 일부인이 아님 을 결정할수 
있 다. 

3. A 는 묘의 공개열쇠 를 기 억 하고 그것 을 리 용하여 A 의 식 별 자 (ID A ) 와 이 처 리를 
유일하게 식 별하는데 리용되는 한번쓰기정보(1민)를 가지 고 있는 B 에게 통보문 
을 암호화하여 보낸다. 

4,5. 묘는 A 가 묘의 공개열쇠 를 받는것과 같은 방식 으로 책 임자로부터 A 의 공개열쇠 
를 받는다. 

이 시점 에서 공개열쇠는 A 와 B 에게 안전하게 전달되며 그것들은 자기의 보호된 교 
환을 시작할것 이 다. 그러 나 다음과 같은 2개의 보충적 인 단계들이 요구될수 있다. 
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6. 묘는 10八로 암호화되고 B 에 의해 생성된 새로운 한번쓰기정보 ( N 2 ) 는 물론 A 의 한번 
쓰기정보(1凡)를 포함하는 통보문을 A 에게 보낸다. 오직 B 만이 통보문으로 (3) 을 복 
호화하였으므로 통보문으로 (6) 에서의 N ! 의 출현은 대응자가 묘인 A 를 담보한다. 

7. A 는 묘의 공개열쇠 를 리 용하여 묘의 대 응자가 A 인 묘를 담보하는 암호화된 N 2 를 
돌려 준다. 



그림 6-12. 공개열쇠 배 포씨 나리 오 


이 리하여 총 7개 의 통보문이 요구된 다. 그러 나 A 와 묘는 둘 다 다른 사람의 공개열 
쇠를 보관할수 있으므로 초기 4개의 통보문은 앞으로의 리용을 위해 오직 드물게만 리용 
되여야 한다. 사용자는 주기적으로 현재성을 담보하는 자기 대응자들의 공개열쇠의 참신 
한 복사를 요구한다. 

공개열쇠확인 

그림 6-12 의 씨나리오는 매력적이지만 아직 일련의 약점들이 있다. 공개열쇠책임자 
에게는 체계에서 일련의 애로가 있다. 즉 사용자가 서로 접촉하려는 매 다른 사용자의 
공개열쇠 를 위해 책 임 자에 게 신청해 야 한다. 그러 나 앞에서 와 마찬가지 로 책 임 자가 관리 
하는 이름 및 공개열쇠들의 목록은 간섭 에 약하다. 

콘헬더 ( Kohnfelder ) [ KOHN 78] 가 처음으로 제기한 또 다른 하나의 방식은 열쇠를 
공개 열쇠 책 임 자로부터 직접 얻는것과 같이 믿을수 있는 방법 으로 공개 열쇠 책 임 자를 접 촉 
함이 없이 열쇠를 교환할 가입자가 리용할수 있는 확인을 리용하는것이다. 매 확인은 공 
개열쇠와 다른 정보를 포함하고 확인책임자에 의해 창조되며 그것은 대조할 비밀열쇠를 
가진 가입자에게 주어 진다. 가입자는 자기의 확인을 전송하는 방법으로 자기열쇠정보를 
다른 사람에게 나른다. 다른 가입 자는 확인이 책 임자에 의해 창조되였음을 검증할수 있 
다. 이 방식에 관한 다음과 같은 요구들을 고찰할수 있다. 


175 



I 요구들은 최조에 제기된 LKOHN 78」 에 의해 만족된다. LDENN 83 
은 보충적인 요구들을 첨가하였다. 

임의의 가입자는 확인의 현재성을 검증할수 있다. 


[방식 을 그림 6-13 으로 보여 준다. 매 가입 자는 공개열쇠 를 공급하며 
확인책임자에게 신청한다. 신청은 개별적으로 되여야 하거나 어떤 형 i 




수신자는 책 임 자의 공개열쇠 10；ᄈ^ 1 를 리용하여 확인을 복호화한다. 확인은 오직 
책 임 자의 공개 열쇠 만을 리 용하여 읽 을수 있 으므로 확인이 확인책 임 자로부터 온다는것 을 
검 증할수 있다. 요소 11)쇼와 KU a 는 확인등록부의 이 름과 공개열쇠 를 수신자에 게 공급한 
다. 최종적으로 일부인된 T 는 확인의 현재성을 담보한다. 일부인은 다음과 갈은 씨나리 
오라고 생각한다. A 의 비밀열쇠가 적에 의해 알려 진다. A 는 새로운 비밀열쇠/공개열쇠 
쌍을 생 성하여 새 로운 확인을 위 해 확인책 임 자에 게 신청한다. 그동안에 적 은 낡은 확인 
을 B 에게 재배 치한다. 이때 B 가 손상된 낡은 공개열쇠 를 리 용하여 통보문을 암호화하면 
적은 이런 통보문을 읽을수 있다. 

이 문맥에서 비밀열쇠의 손상은 신용카드의 잃음과 비교할수 있다. 그 소유자들은 
신용카드번호를 취소하지만 모든 통신자들이 낡은 신용카드가 구식이라는것을 알 때까지 
위 험은 남아 있다. 이 리하여 일부인은 만기날자와 같은것 으로 종사한다. 확인이 충분히 
낡으면 만기 가 되 였 다고 가정한다. 

비밀열쇠의 공개열쇠배포 

일 단 공개 열쇠 가 배 송되 였거 나 참조가능하게 되 였 다면 도청 (그림 6-2)，간섭 (그림 
6-3) 또는 둘 다(그림 6-4) 좌절시키는 비밀통신이 가능하다. 그러나 일부 사용자들은 
통신에 서 공개열 쇠암호를 배 제하려 고 한다. 왜 냐하면 상대 적 으로 자료전송속도가 느리 기 
때 문이 다. 따라서 공개열쇠암호는 전통암호에 리용되 는 비밀열쇠 의 배 송수단으로서 아주 
적 합하다. 

단순한 비밀열쇠배포 

아주 단순한 방식을 그림 6-14 에서 보여 준다 [ MERK 79]. A 가 B 와 통신하려고 한다 
면 다음과 갈은 절차를 채용한다. 

1. A 는 공개 /비 밀 열쇠 쌍 { KU a> KR a } 를 생성 하고 KUj A 의 식별자 ID A 로 이루어 
진 통보문을 B 에 게 전송한다. 

2. B 는 비밀열쇠 Ks 를 생성하고 A 의 공개열쇠로 암호화한 그것을 A 에게 전송한다. 

3. A 는 粧 KUa [ K s ]] 를 계산하여 비밀열쇠를 구한다. 오직 A 만이 통보문을 

복호화할수 있으므로 A 와 B 만이 K s 의 신원을 알것이다. 

4. A 는 於11 3 와 KRj 버리며 묘는 KUj 머린다. 

A 와 묘는 이제는 전통암호와 대화열쇠를 리용하여 안전하게 통신할수 있다. 교환을 
완성한 다음에 A 와 묘는 둘 다 K s 를 버 린다. 이것은 단순함에 도 불구하고 흥미 있는 규 
약이 다. 통신이 시 작되 기 전에 는 열쇠 가 존재하지 않으며 통신이 완료된 다음에 도 열쇠 가 
존재하지 않는다. 이 리하여 열쇠손상의 위험은 최소로 된다. 동시 에 통신은 도청 으로부 
터 안전하다. 

이 규약은 능동공격에 약화될수 있다. 적 E 가 간섭통신통로를 조종한다면 E 는 검출 
함이 없 이 다음과 갈은 방식 으로 통신을 방해할수 있 다. 

1. A 는 공개/비밀열쇠쌍 { KU a ， KR a } 을 생성하고 B 에게 보낼 1예와 A 의 식별자 
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ID A 로 이루어 진 통보문을 전송한다. 

2. 표는 통보문을 가로 채여 자기자신의 공개/비밀열쇠쌍 { KU e ， KR e } 를 창조하고 
KU e || ID A 를 B 에게 전송한다. 

3. 묘는 비밀 열쇠 K s 를 생성하여 E ku =[ K s ] 를 전송한다. 

4. 표는 통보문을 가로 채 여 E KUe [ Ks ] 를 계산함으로써 Ks 를 알아 낸다. 

5. 표는 E KUe [ K s ] 를 A 에게 전송한다. 

결과는 A 와 B 들이 다 K s 를 알지 만 Ks 가 E 에 게 드러나게 된 다는것 을 모르는것 이 다. 
A 와 B 가 이제 는 K s 를 리 용하여 통보문을 교환할수 있다. E 는 더 는 실제 적 으로 간섭하 
지 않지 만 단순히 도청은 한다. K s 를 알면 표는 통보문으로 모두를 복호화할수 있으며 A 
와 B 는 둘 다 그 문제 를 모르고 있 다. 이 리하여 이 단순한 규약은 오직 도청 당할수 있 
는 환경속에서만 유용하다. 

기밀성과 인중을 가진 비밀열쇠배포 

NEED 78 에서 제시한 방식 에 기 초한 그림 6-15 는 능동공격과 피동공격 으로부터 보호 
된다. A 와 묘가 앞에 서 서 술한 방식들중의 하나로 공개열쇠 를 교환하였다고 가정 했을 때 
시작한다. 이때 다음과 같은 단계들이 발생된다. 

1. A 는 묘의 공개열쇠를 리용하여 A 의 식별자(113》와 이 처리를 유일하게 식별하는데 
리용되는 한번쓰기정보(^凡)를 포함하는 통보문을 암호화하여 B 에게 보낸다. 

2. 묘는 묘에 의해 생 성된 새 로운 한번쓰기 정 보 ( N 2 ) 는 물론 A 의 한번쓰기정 보 (NO 
를 포함하며 뜨1九로 암호화하여 A 에게 보낸다. 오직 B 만이 통보문 (1) 을 복호 
화하므로 통보문 (2) 에서 仏의 출현은 대응자가 묘인 A 를 담보한다. 



그림 6-14. 대 화열 쇠 를 설 정 하는 공개 열쇠암호의 단순한 리 용 
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그림 6-15. 비밀열쇠의 공개열쇠배포 



3. A 는 묘의 공개열쇠 를 리용하여 대 응자가 A 임 을 B 에 게 담보하는 암호화된 N 2 
을 돌려 준다. 

4. A 는 비밀열쇠 K s 를 택하고 M = E KUb [ E ^ [ K s ]] 를 B 에게 보낸다. 묘의 공개 
열쇠 에 의한 이 통보문의 암호화는 오직 B 만이 그것 을 읽 을수 있음을 담보한다. 
즉 A 의 공개열쇠 로 한 암호화는 오직 A 만이 그것을 보냈다는것을 담보한다. 

5. 묘는 D KUa [ D ^ [ M ]] 을 계산하여 비밀열쇠를 회복한다. 

이 방식의 첫 3개 단계는 그림 6-12 의 마지막 3개 단계와 같다는것을 강조한다. 그 
결과는 이 방식이 비밀열쇠의 교환에서 기밀성과 인증을 둘 다 담보한다는것이다. 

복합방식 

비 밀 열쇠 를 배송하는데 공개열쇠 암호를 리용하는 다른 또 하나의 방식은 IBM 의 주 
틀 LE 93 을 리용하는 복합방식 이 다. 이 방식은 매 사용자와 비밀주열쇠를 공유하여 주열 
쇠 로 암호화된 비밀대 화열쇠를 배송하는 열쇠배 포쎈터 ( KDC ) 를 리 용한다. 공개열쇠방식 
은 주열 쇠 를 배 송하는데 리 용된 다. 다음과 같이 리 상적 인것 은 이 3준위방식 을 리 용하는 
데 제공된다. 

• 성능: 대화열쇠를 자유로이 변경하는 많은 응용에는 특히 처리지향응용들이 있 
다. 공개열쇠암호에 의한 대 화열쇠의 배송은 전면적 인 체 계의 성 능을 저 하시 킨 
다. 왜 냐하면 공개열 쇠암호화와 복호화는 상대 적 으로 높은 부하를 가지 기 때 문 
이 다. 

3준위 계 층에 서 공개열쇠암호는 오직 사용자와 KDC 사이 의 주열쇠 를 갱 신하는데 
만 때때로 리용된다. 

• 거 꾸로의 호환성 : 복합방식 은 최 소의 분렬 또는 쏘프트웨 어변경 을 가진 존재 
KDC 방식우에서 쉽게 감추어 진다. 

공개열쇠 층의 보충은 주열쇠 를 배 송하는 안전하고 효과적 인 수단을 제 공한다. 이 것 
은 하나의 KDC 가 널리 분산된 사용자들의 모임을 봉사하는 배 치구성 에서 우월하다. 


6.4 디표卜헬만열쇠교환 

처음으로 발표된 공개열쇠알고리듬은 공개열쇠암호를 정의한 디피-헬만의 론문 
[ DIFF 76 b ] 에서 제기되였으며 일반적으로 디피-헬만열쇠교환이라고 한다. 일련의 상업 
적 제 품들은 이 열쇠교환기 술을 채 용한다. 

알고리 듬은 그 효과성 을 위하여 리 산로그계 산의 복잡성 에 의 거한다. 간단히 보면 리 
산로그를 다음과 같은 방법 으로 정 의 할수 있 다. 우선 씨 수，의 원시 뿌리 를 정 의 하는데 
이것은 그의 제곱이 1부터 p -1 사이의 모든 옹근수들을 생성 한다. 즉 a 가 씨수 p 의 원시 
뿌리이면 수 


a mod p , a 2 mod p , . , a 5-1 mod p 
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는 모두 서로 다르며 어떤 치환에 의하여 1부터 p -1 사이의 옹근수들로 이루어 진다. 
임의의 옹근수 6와 씨수 广의 원시뿌리 fl 에 대하여 

b = d mod p 여기서 0</<(/广1) 

인 유일 한 제 곱지 수 /를 구할수 있 다. 제 곱지 수 /를 mod p 에 관하여 밑 수 a 인 노의 리 산 
로그 또는 첨 수라고 하고 ind aj) (미 로 표시한다. 보다 구체 적 인것 은 7장을 보시 오. 

이 런 환경하에 서 그림 6-16 에 서 개 괄한 디피 -헬 만열 쇠교환을 정 의할수 있 다. 이 방 
식에 대하여 2개의 공개적으로 알려 진 수 즉 씨수 요와 요의 원시뿌리인 oc 가 있다. 사용 
자 A 와 B 가 열쇠를 교환하려고 한다고 가정하자. 사용자 A 는 우연옹근수 X A <q 를 택하 
여 F a = a XA mod q ^： 계 산한다. 마찬가지 로 사용자 B 는 독립 적 으로 우연옹근수 X B 句를 택 
하여 Y b = a。mod 상를 계산한다. 매측은 X 값을 비밀로 하며 7값을 다른 측에 공개 하도록 


대역 적공개 요소 

씨 수 

a < g 이 고 a 는 요의 원시뿌리 


사용자 A 의 열쇠생성 

비 밀 열쇠 X A 를 택한다. X A <q 

공개 열 쇠 Y A 를 계 산한다. Y a = a XA mo ( q 

사용자 묘의 열쇠생 성 

비밀열쇠 X B 를 택한다. X B <q 

공개 열 쇠 Y B 를 계 산한다. Y b = a Xs mo < q 

사용자 A 에 의 한 비밀열쇠 생성 

K = ( Y b ) Xa mod g _ 

사용자 묘에 의한 비밀열쇠생성 

K = ( Y a ) Xb mod g _ 
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그림 6-16. 디피 -헬 만열 쇠교환알고리 듬 




한다. 사용자 A 는 열쇠를 K = (7 b ) mod 상로，사용자 B 는 열쇠 를 K = ( y A ) 자 mod q 
로 계산한다. 이 두 계산은 갈은 결과를 준다. 즉 

K = ( V B ) Xa mod q 

= (a Xb mod q ) Xa mod q 

= ( a Xe ) Xa mod q 모드산수규칙 으로부터 

= a XbXa mod q 
= (a Xa ) Xb mod q 
=( a XA mod q ) Xb mod q 
=( Y a ) Xb mod q 

이리하여 두 측은 비밀열쇠를 교환하였다. 더 나아가서 자와 하는 비밀이므로 적은 
오직 다음과 같은 요소 q , a , r A 와 7 b 만을 가진다. 따라서 적 은 열쇠 를 구하기 위하여 
리산로그를 취 하는데 집 중하게 된다. 실례 로 사용자 묘의 비밀열쇠를 공격하려면 적 은 

X B = ind a , p O ， B ) 

를 계산해야 한다. 그래야 적은 사용자 묘가 계산하는것과 같은 방식으로 열쇠 K 를 계산 
할 수 있 다. 

디피 -헬만열 쇠교환의 보안은 모드씨 수에 관한 제 곱지 수를 계 산하는것 이 상대 적 으로 
쉽 다면 리 산로그를 계산하는것은 아주 힘들다는 사실에 기초한다. 큰 씨 수에 대하여 후 
자의 과제는 불가능한것으로 고찰된다. 

여기에는 하나의 실례가 있다 [ SEBE 89]. 열쇠교환은 씨수『97과 97의 원시뿌리 a 
= 5의 리용에 기초한다. A 와 묘는 비밀열쇠 자=36과 보 13 = 58을 택한다. 매개는 다음과 
갈은 공개열쇠 를 계 산한다. 


Y a =5 36 =50 mod 97 
Y B =5 58 =44 mod 97 

공개열쇠들을 교환한 다음에 매개는 다음과 갈은 공통비밀열쇠를 계산할수 있다. 
K =( Y b ) Xa mod 97=44 36 =75 mod 97 
K =( Y a ) Xb mod 97=50 58 =75 mod 97 

{50,44} 로부터 공격자는 75 를 쉽게 계산할수 없다. 

그림 6-17 은 디피 -헬 만계 산방법 을 리용하는 단순한 규약을 보여 준다. 사용자 A 가 
사용자 묘와 련결하고 비밀열쇠를 리용하여 그 련결우에서 통보문을 암호화하려고 한다 
고 가정하자. 사용자 A 는 비밀열쇠 자를 생성하고 y A 를 계산하여 그것을 사용자 B 에게 
보낼수 있다. 사용자 B 는 비밀값 X B 를 생성하고 Y B 를 계산하여 사용자 A 에게 보내는것 
으로 응답한다. 두 사용자가 이제는 열쇠를 계산할수 있다. 필요한 공개값 요와 a 는 미 
리 알려 져 있어 야 한다. 다른 한가지 로서 사용자 A 는 상와 a 에 대 한 값을 취 하고 첫 통 
보문속에 이것을 포함시킨다. 
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디피 -헬 만알고리 듬리 용의 다른 실 례 로서 사용자들의 집 단 (즉 LAN 의 모든 사용자) 
의 매개가 긴 비밀값 &를 생성하고 공개값 를 계산한다고 가정하자. 이 공개값들은 
g 와 a 에 대한 대역적공개값들과 함께 어떤 중심목록에 기억된다. 임의의 시각에 사용자 
B 는 사용자 A 의 공개 값을 참조하여 비 밀 열쇠 를 계 산할수 있으며 그것 을 리용하여 암호 
화된 통보문을 사용자 A 에게 보낼수 있다. 중심목록이 믿을만하면 이런 형태의 통신은 
기밀성과 인증을 제공한다. A 와 B 만이 열쇠 를 결정할수 있으므로 다른 사용자는 통보문 
을 읽 을수 없다(기 밀성 ). 수신자 A 는 이 열쇠 를 리용하여 오직 사용자 B 만이 통보문을 
창조함을 안다(인증). 그러 나 이 기술은 재차공격에는 보호되지 못한다. 


사용자 A 사용자 B 


란 수 X A < q 를 
생 성 한다. 


란수 x B 아를 생 

Y A =a Xa mod q 
를 계산한다. 

I，一 广V 八 x A ᅮᅮ니 、ᅬ 기 f 

Yb . - --- - 

성 한다. 

Y b =oc Xb mod 公 를 
계산한다. 

K=(Y a ) Xb mod^ 

iv- v Y b) mod 公 

를 계산한다. 

- - - — 

를 계산한다. 


그림 6-17. 디피 -헬 만열 쇠교환 


6.5 타원끅선암호 

암호화/복호화와 수자서명을 위하여 공개열쇠를 리용하는 제품과 표준들의 대부분은 
RSA 를 리용한다. 본바와 같이 안전한 RSA 의 비트길 이는 최 근년간 늘어 나며 이것은 
RSA 를 리용하는 무거운 부담으로 되고 있다. 이 부담은 특히 큰 수의 비밀처리를 요구 
하는 전자상거래갈은데서 혼란을 일으키고 있다. 최근 경쟁체계 즉 타원곡선암호 ( EC 必 
같은것들이 RSA 에 도전하기 시작하였다. 이미 ECC 는 표준화효과를 보여 주고 있으며 
공개열쇠 암호를 위 한 IEEE P 1363 표준을 포함하고 있 다. 

RSA 에 비 하여 ECC 는 원리 적측면에 서 훨씬 적은 비 트크기 로 동등한 보안을 보장 
하므로 보다 간결하다. 다른 한편 ECC 의 리론은 최근시기에 제기되여 제품이 나오기 
시 작하였 으며 그 약점 이 암호분석 자들에 의해 엄 밀 하게 조사되 고 있 다. 이 리하여 ECC 
의 신용수준은 아직 RSA 만큼은 높지 못하다. 

ECC 는 기 본적 으로 RSA 나 디피 -헬 만을 설 명하는것 보다 더 힘 들며 완전한 수학적 
서술은 이 책의 범위를 벗어 난다. 이 절에서는 타원곡선에 대한 일련의 개념과 ECC 를 
제 기 한다. 


타원끅선 

타원곡선은 타원 이 아니 다. 그것 을 그렇 게 부르게 된 리유는 타원주를 계 산하는 
데 리용된 방정식과 류사한 3차방정식으로 서술되기때문이다. 일반적으로 타원곡선 
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의 3차방정식은 


y^+axy+by=x 3 +c^+dx+i 


의 형태를 취 한다. 여기서 a , 느 c , d 및 e 는 어떤 단순한 조건을 만족시키 는 실수이 다. 
또한 임의의 타원곡선의 정의에 포함된것은 0으로 표시한 하나의 원소이며 그것을 무한 
원점 또는 령 점 이 라고 부르는데 앞으로 론의하게 된 다. 이 런 방정 식 을 3차방정 식 이라고 
한다. 왜 냐하면 그 방정식의 최고제곱지수가 3이기때문이 다. 그림 6-18 은 타원곡선의 두 
실례를 보여 준다. 보는바와 같이 이 식은 때때로 이상한 곡선을 나타낸다. 





그림 6-18. 타원곡선의 실례 
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타원곡선우에서 더하기연산을 다음과 갈은 간단한 형태로 정의할수 있다. 타원곡선 
우의 세 점 이 한 직선우에 놓이면 그 합은 0이 다. 이 정의로부터 타원곡선우에서 더 하기 
규칙을 다음과 같이 정의 할수 있다. 

1. 0는 더 하기 에 관한 령원소로서 종사한다. 이 리하여 0 = 이 며 타원곡선우의 
임의의 점 P 에 대하여，+이다. 

2. 수직선은 갈은 : C 자리표를 가진 두 점 즉 와와 均에서 곡선을 만 
난다. 또한 무한원점에서 곡선을 만난다. 그러므로 뱌+八+公三公이고 Pl=-P 2 
이 다. 따라서 점 의 반대 점 은 같은 x 자리표를 가지 지 만 반대 의 : y 자리표를 가지 는 
점이다. 그림 6-18 에 이것을 보여 주었다. 

3. 서 로 다른 x 자리 표를 가지 는 두 점 요와 /?를 더 하기 위 하여 그들사이의 직 선을 
그어 제3의 점 인 사귐점 뱌를 구한다. 사귐점 인 유일한 점 쏴가 있다는것을 쉽 
게 볼수 있다(직선이 外=2이거나 뱌=요를 취한 경우에 각각 公 또는 요에서 곡 
선에 대한 탕겐스가 아니라면). 이때 2半.% f •거=0이며 따라서 0+요임을 
강조한다. 그림 6-18 은 이 구조를 보여 준다. 

4. 점 ◦ 를 두번 더하기 위하여 탕겐스선을 긋고 다른 사점점을 구한다. 이때 

公+公 =^Q =~S 

앞에서 말한 더 하기규칙은 가환성과 결합성과 같은 더 하기의 표준속성들을 만족시 킨 
다. 정 의옹근수 소에 의한 타원곡선우의 점 P 의 곱하기 는 P 의 A : 번 합으로 정 의한다. 이 
리하여 2 P = P + P , 3 P = P + P+P 등이 다. 

유한체우에서의 타원끅선 

ECC 에서는 유한체우에서 정의된 제한된 형태의 타원곡선을 취급한다. 암호학에 특 
별히 관심을 가지게 되는것은 mod p 에 관한 타원군이 라는것 이 다. 여기서 p 는 씨수이 다. 
이것은 다음과 같이 정의된다. 


4 a 3 +27公 2 (mod p ) ^ 0 

인 p 보다 작은 두 부아닌 옹근수 a 와 &를 택한다. 이때 E p ( a 必)는 무한원점 0와 함께 

y 2 = 一手_4■分. (mod p ) (6-1) 

를 만족시 키 는 p 보다 작은 부아닌 옹근수들의 쌍인 mod p 에 관한 타원군을 표시 한다. 

실례로 p =23 이라고 하고 타원곡선 / =； c 3 +； c + l 을 고찰하자. 이 경우에 = l 이 
다. mod 23에 관한 조건을 만족시키는 4 X 1 3 +27 X 1 2 (mod 23)=8 유0이 있다. 

우의 항목에서 방정식은 그림 6-18 의 u 과 같다. 이 그림은 그 방정식을 만족시키는 
실수점 모두를 가지는 련속곡선을 보여 준다. 타원군에서는 오직 mod p 에 관한 방정 식 을 
만족시키 는 (0, 0) 부터 ( p ， p ) 까지 의 원주우의 1-4 분구의 부아닌 옹근수들에만 관심 을 가 
진다. 표 6-4 는 E 23 ( l ， l ) 의 부분인 (0 아닌)점들을 렬거한다. 일반적으로 다음과 같은 방 
법으로 렬거한다. 
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1. 0 < ;c < p 인 매 x 에 대 하여 A ： 3 +ax+b (mod p ) 를 계 산한다. 

2. 앞단계 의 매 결과에 대 하여 그것 이 mod p 에 관하여 두제 곱뿌리 를 가지 는가를 
결 정한다. 아니 라면 이 런 값 ； c 를 가지 는 점 이 E p ( a ， fc ) 에 는 없 다. 그렇 다면 두제 
곱뿌리연산을 만족시키 는 y 의 2개 값이 있을것 이 다(그 값이 0인 하나의 '값이 
아니라면). 이런 (지必값들은 E p 어必)안의 점들이다. 

E p ( a ， fc ) 우에 서 의 더 하기 에 관한 규칙 에 는 그림 6-18 에 서 보여 준 기 하학적기 술이 
대응한다. 그것을 다음과 같이 모든 점 P ， eeE p ( a , 미에 대하여 정식화할수 있다. 

1 . p+o=p 

2. P=(x, : 아 이 면 P+(x, ~y)^0. 점 Oc , ᄀ)는 - P 로 표시 되는 P 의 반대점 이 다. (x, 
- y ) 는 그라프에서 (그림 6-18 의 L ) 그리고 E p (a, 的에서 보여 주는바와 같이 타 
원곡선우의 점 이 다. 실 례 로 E 23 ( l , 1) 에 서 P~ (13,7) 에 대 하여 -P- (13, -7) 이 다. 
그러 나 -7 mod 23=16. 따라서 (13, 16) 이 고 역시 E 23 ( l , l ) 에 속한다. 


-4. 

타원곡선 E 23 ( l ， 

1) 우의 점 

(0,1) 

(6,4) 

(12, 19) 

(0,22) 

(6, 19) 

(13,7) 

(1,7) 

(7, 11) 

(13, 16) 

(1,16) 

(7, 12) 

(17, 3) 

(3, 10) 

(9,7) 

(17,20) 

(3, 13) 

(9, 16) 

(18,3) 

(4,0) 

(11， 3) 

(18,20) 

(5,4) 

(11， 20) 

(19, 5) 

(5, 19) 

(12, 4) 

(19, 18) 


3. P=(x l ,y 1 ), e =0 c 2 , 光)이며，辛-2이면 P + 公=0«： 3 ，光)은 다음과 같은 규칙에 의 
해 결정된다. 


x 3 = 入 2 계 2 (mod p) 
y 3 = ^( xrx 3 ) - yi(mod p ) 

여기서 

y2 ~ yi p 우! 2 일 때 

사-지 

P = e 일 때 

2此 


두개의 실례를 보자 [ JURI 97]. P =(3，10) 이고 g =(9,7) 이라고 하자. 이때 
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7-10 -3 -1 

X = -一一- = — = — = 11 mod 23 
9-3 6 2 

义 3 = 11 2 -3-9 =109 = 17 mod 23 
: y 3 = 11(3-(-6))-10 = 89 = 20 mod 23 


이 리하여 p+Q= (17,20). 2 P 를 구하기 위하여 


색 


20 4 = 6 m ° d 23 


X3 =6 2 —3_3 = 30 s 7 mod 23 
y 3 =6(3—7) — 10=-34 — 12 mod 23 


이며 2 P =(7，12) 이다. 다시 곱하기는 더하기의 반복으로 정의된다. 실례로 ^ iP + P + P+P 
이다. 


타원끅선암호 

ECC 의 더 하기연산은 RSA 의 모드곱하기 와 갈으며 다중더 하기 는 모드제 곱연산과 
갈다. 타원곡선을 리 용하여 암호체 계를 구성 하기 위 해서는 두 씨수의 적을 인수분해하거 
나 리산로그를 취하는데 대응하는《힘든 문제》를 구해야 한다. 

방정 식 Q=kP 를 고찰하자. 여 기서 Q, PeE p (a, 미 이 고 k < p 이 다. it 와 P 가 주어 졌 
을 때 2를 계산하는것은 상대적으로 쉽지만 2와 戶가 주어 졌을 때 소를 구하는것은 상 
대적으로 힘들다. 

이 항목에서는 이 기술의 요지를 주는 ECC 에 대한 두 방식을 보여 준다. 

디피-헬만열쇠교환과의 류사성 

타원곡선을 리용한 열쇠교환을 다음과 갈은 방법으로 할수 있다. 우선 식 6-1 에 대 
한 타원곡선파라메 터 «와 6 그리고 씨수 P « 2 180 을 취 한다. 이것은 점들의 타원군 
E p (a, 幻를 정의한다. 다음으로 E p (a, 미의 생성기점 GzOd,}^) 를 취 한다. G 를 선택하는 
중요한 판정 기 준은 nG = 0 인 n 의 최 소값이 아주 큰 씨수이라는것 이 다. E p (a, 비 와 G 는 
모든 가입자들에게 알려 진 암호체계의 파라메터들이다. 

사용자 A 와 B 사이에 열쇠교환은 다음과 같이 진행된다. 

1. «보다 작은 옹근수 n A 를 A 가 택한다. 이것은 A 의 비밀열쇠이 다. 이때 A 는 공 
개열쇠 P A = nA >< G 를 생성한다. 공개열쇠는 Ep ( a , 的의 점이다. 

2. 마찬가지 로 묘도 비밀 열쇠 매를 택하고 공개열쇠 /노를 계산한다. 

3. A 는 비밀열쇠 尺 =w A XP B 를 생성한다. B 는 비밀열쇠 포: n B XP A 를 생성한다. 

단계 3의 두 계산은 같은 결과를 준다. 왜냐하면 


n A XP B =n A X (n B X G) =n B X (n A XG) =rt B XP A . 

이 방식 을 파괴 하기 위하여 공격 자는 힘 든것 으로 가정 되 는 G 와 소 G 가 주어 졌을 때 
소를 계산할수 있어야 한다. 

실례로 ;厂211과 E p (0,-4) 를 취하자. 이때 곡선은 / = ； c 3 — 4이고 G =(2,2) 이다. 
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241(7 = 0 임을 계산할수 있다. A 의 비밀열쇠는 n A =121 이고 따라서 A 의 공개열쇠는 
P A = 121 (2, 2) = (115, 48) 이 다. 묘의 비 밀열쇠 는 n B —203이므로 B 의 공개 열쇠 는 203(2,2) 
= (130,203) 이다. 공유된 비밀열쇠는 121 (130,203) =203(115,48) = (161， 169) 이다. 

비밀열쇠는 수들의 쌍임을 강조한다. 이 열쇠가 전통암호의 대화열쇠로 리용된다면 
하나의 수가 생성되여야 한다. 단순히 x 자리표 또는 x 자리표에 관한 어떤 단순한 함수를 
리 용한다. 

타원곡선 암호화/복호화 

타원곡선을 리용하여 암호화/복호화하는 일 련의 방식들이 문헌들에서 해석되 였다. 
여기서는 가장 단순한것을 보게 된다. 이 체계에서 첫 과제는 ; c 一： y 점 P m 으로 보내게 되 
는 평문통보문 m 을 암호화하는것이다. 이것이 암호문으로 암호화되고 계속하여 복호화 
되는 점 P m 이다. 통보문을 단순히 점의 ;c 자리표나 y 자리표로 암호화할수 없다는것을 강 
조한다. 왜 냐하면 일부 자리표들은 E p ( a ， 的 에 없기 _ 때문이 다. 실례 로 표 6-4 를 보자. 이 
암호화에 대 한 몇 가지 방식 이 있는데 여 기서 는 언급하지 않지 만 그것 을 만족시키 는 상대 
적으로 간단한 기술이 있다는것을 다시 강조한다. 

열쇠교환체 계 에서처 럼 암호화/복호화체 계 는 파라메터 로서 점 G 와 타원군 E p ( a ， fc ) 를 
요구한다. 매 사용자 A 는 비밀열쇠 를 택하고 공개열쇠 P A =n A XG 를 생성한다. 

통보문 /、을 암호화하여 B 에 게 보내 기 위하여 A 는 우연옹근수 노를 택하고 점 쌍 

C m ={kG, P m +kP B } 

들로 이 루어 진 암호문 Cm 을 만든다. a 는 묘의 공개열 쇠 /노를 리 용하였 다는것 을 강조한 
다. 암호문을 복호화하기 위하여 B 는 쌍의 첫번째 점 을 묘의 비밀열쇠 로 곱하고 그 결과 
를 두번째 점으로 던다. 즉 

P m +kP B ~n B (kG) =P m +k(n B G) ~n B (kG) =P m 

A 는 평문 八에 kl 노를 더 함으로써 戶„을 마스크한다. A 를 제외한 그 누구도 소의 값 
을 모르므로 P b 7} 공개열쇠 라고 할지 라도 누구도 마스크 를 제 거할수 없 다. 그러 나 
A 역시 비밀 열쇠 매를 안다면 마스크를 충분히 제거할수 있다는《 단서》를 가진다. 통보 
문을 얻 기 위하여 공격 자는 힘 들게 가정 된 G 와 소(?가 주어 졌을 때 쇼를 계 산해 야 한다. 

암호화처 리 의 실 례 [ KOBL 94] 토서 p = 751, E p (-1,188) 를 취 하자. 여 기 서 곡선 
/=; c 3 -; c +188 이고 (0,376) 이 다. 타원점 戶„,= (562,201)로 암호화되고 A 가 란수 k 
=386을 택 한 통보문을 B 에 게 보내 려 고 한다고 가정 하자. B 의 공개열쇠 는 P B =(201，5) 이 
다. 386(0, 376) = (676, 558) 이 고 (562,201)+386(201,5) = (385,328) 이 다. 이 리 하여 A 
는 암호문{(676, 558), (385, 328)} 을 보낸다. 

타원끅선암호의 보안 

ECC 의 보안은 …와 P 가 주어 졌을 때 소를 구하는것이 얼마나 어려운가에 관계된다. 
이것을 타원곡선로그문제라고 한다. 타원곡선로그를 취하기 위한 알려 진 가장 빠른 기술 
은 폴라드 로 (Pollard rho ) 방법이다. 표 6-5 는 이 방법과 일반수채채법을 리용하여 주어 
진 수를 두개의 씨수로 인수분해하는 방법의 효과성을 비교한다. 보는바와 같이 RSA 에 
비하여 ECC 는 상당히 작은 열쇠크기를 리용할수 있다. 더 나아가서 같은 열쇠길이에 대 


187 



하여 ECC 와 RSA 에 요구된 계산량적 효과는 비교할수 있다 [ JURI 97]. 이 리 하여 비교적 안 
전한 RSA 보다 더 짧은 열쇠길이를 가지는 ECC 의 리용은 계산량적인 발전이다. 


표 6-5. RSA 에 비 한 타원곡선 암호의 분석 을 위 한 계 산량적효과 


열쇠 크기 

MIPS 년 

150 

3.8 X 10 10 

205 

7.1 X 10 18 

234 

1.6 X 10 28 


T ) 폴라드 로방법을 리용한 
타원곡선알고리듬 


열쇠 크기 

MIPS 년 

512 

3 X 10 4 

768 

2 X 10 8 

1024 

3 X 10 11 

1280 

1 X 10 14 

1536 

3 X 10 16 

2048 

3 X 10 20 


L ) 일반화된 수채채법을 리 
용한 옹근수 인수분해 
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문 제 

RSA 와 같은 임의의 특정한 공개열쇠방식의 발견에 앞서서 공개열쇠암호가 리 
론적 으로 가능함을 보여 주는것 이 목적 인 존재 성증명 이 밝혀 졌다. 함수 
f 2 ( x 2 , y 2) 고찰하자. 여기서 모든 값들은 

1< 자，九 Zi < N 인 옹근수이다. 함수。는 A : 번째 입력이。⑴의 값이고 길이 N 인 
벡 토르 Ml 에 의 해 표현될수 있 다. 마찬가지 로 f 2 과 f 3 을 NXN 형행 렬 M 2 와 M 3 
으로 표현할수 있 다. 목적 은 아주 큰 "의 값을 가진 표검 색 에 의해 암호화/복 
호화처 리 를 표현하는것 이 다. 이 런 표는 실행할수 없을 정 도로 거 대하지 만 원리 
적으로는 구성된다. 이 방삭은 다음과 같이 동작한다. 1과 〜사이의 옹근수모두 
의 우연치환으로 Ml 을 구성한다. 즉 매 옹근수는 Ml 에 정 확히 한번 나타난 
다. M 2 도 그렇게 구성하여 매행은 첫 m 옹근수의 우연치환을 포함한다. 
최 종적 으로는 다음의 조건을 만족시키 는 M 3 에 채 운다. l < k ，0 N 9 l 모든 k,p 
에 대하여 


Uihiilik ) , p ) , k ) = p 모든 A :， 分에 대하여 l < k ， p<N 일 때 

말로 표현하면 

1) Ml 은 입 구 오를 취 하여 출구 x 를 내 보낸다. 

2) M 2 는 ;<：와 끄를 넣 고 z 를 내 보낸다. 

3) M 3 은 z 와 소를 넣 고 p 를 내 보낸다. 

일 단 구성 된 3개 의 표를 공개한다. 

1) 선행한 조건을 만족시 키 는 M 3 을 구성하는것 이 가능하다는것 은 분명하다. 
실례로 다음과 같이 단순한 경우에 M 3 안에 요소들을 채우시오. 



약속: Ml 의 ?•번째 원소에는 오디를 대 응시 킨다. M 2 의 /번째 행 에는 ；를 
대응시킨다. M 2 의 번째 렬에는 머를 대응시킨다. M 3 의 /번째 행에는 z=i 
를 대응시키고 M 3 의 j •번째 렬에는 k 미를 대응시킨다. 
l ) 두 사용자사이 에 암호화와 복호화를 진행하는데 이 표들의 모임 을 리 용하 
여 서술하시오. 

n ) 이것은 비밀방식임을 론증하시오. 

그림 6-6 에서처 럼 RSA 알고리 듬을 리 용하여 다음과 같이 암호화와 복호화를 진 
행 하라. 


189 




ᄀ) p = 3; 公 = 11; 넜 =7; M =5 
ᄂ) p = 5; 公 = ll ; e =3 ;M = 9 
ᄃ) _p = 7; 公 = ll;e = 17; M =8 
ᄅ) 夕 = 11 나 = 13 ;e = ll;M = 7 
n ) _p 메 _7; 公 = 31 ;e = 7; M =2 

암시 : 복호화는 생각하는것보다 힘들지 않다. 어떤 좋은 착상을 리 용하시오. 
RSA 를 리용하는 공개열쇠 체 계 에서 공개열쇠 가 e = 5 ，n = 35 인 사용자에 게 보낸 
암호문 (:=10을 분석한다. 평 문 보은 무엇 인가? 

RSA 체 계 에서 주어 진 사용자의 공개열쇠 가 e =31, w =3599 이 다. 이 사용자의 비 
밀열쇠는 무엇인가? 

RSA 알고리듬을 리용하는데서 어떤 작은 회수의 반복적 인 암호화가 다시 평문 
으로 돌아 온다면 좋은것은 무엇인가? 

RSA 로 암호화된 블로크가 있는데 비밀열쇠를 모른다고 가정하자. n = pq , e 는 공 
개열쇠 라고 하자. 이것은 우리 에 게 어떤 방식 으로 도움을 주는가? 

RSA 공개열쇠암호방식 에서 매 사용자에 게 는 공개열쇠 e 와 비밀 열쇠 d 가 있다. 
어떤 사용자가 자기의 비밀 열쇠를 루설했다고 가정 하자. 새 로운 모드를 생성하 
는것 보다 오히 려 사용자는 새 로운 공개열쇠 와 새 로운 비 밀 열쇠 를 생 성하기 로 
결심하였다. 이것 이 안전한가? 

《여보게, 홈스 ( Holmes ) ,》라고 부른 와트손 ( Watson ) 은 열정적으로 다음과 같 
이 말하였 다. 《 당신이 최 근에 진행한 망안전기 술이 나의 암호에 대 한 흥미 를 
돋구어 주었네. 바로 어제 나는 한시각용 ( one-time pad ) 암호를 실행시킬 방 
도를 찾아 내였네.》 

《아，정말?》홈스의 얼굴에서 졸음기가 사라 졌다.《그래서 자네가 암 
호학적으로 강도가 높은 렬을 결정방식으로 생성시킬 방도를 찾아 냈단말이 
지?:) 

《그렇네，홈스. 그 착상은 아주 간단하네 . 주어 진 한방향함수 표에 대 하 
여 나는 표를 일정한 표준인수렬에 적용하여 원소들의 긴 모조란수렬을 생성하 
지 . 암호분석 자가 F 와 렬의 일반적속성을 안다고 가정 하는데 그것은 S , S +1， 
S +2, …처럼 간단하겠지만 S 는 비밀이 아니네. 그리고 표의 한방향성으로 인하 
여 어떤 /에 대하여 F(S + iO 가 주어 지면 누구도 S 를 추출할수 없네，이렇게 
되여 그가 일정한 렬의 토막을 엄어 낸다고 해도 그는 나머지를 결정할수 없게 
되네.> 

«와트손，자네 의 생 각에 는 결 함이 없어 보이 지 만 적 어 도 표에 의 하여 만 
족되는 어떤 보조적인 조건들이 있어야겠네. 실례로 RSA 암호화함수 즉 
F ( M ) ^M R mod N, 포가 비밀이 라고 생각해 보라구. 이 함수는 한방향이 라고 믿 
어 지지 만 나는 그 리용을 례 를 들어 렬 M =2,3,4,5,6, …에 다 적 용하고 싶지 
않구만. > 

ᅮ 홈스，어째서?》와트손은 미 처 리 해하지 못하는것 갈았다. 《 X 가 비밀 
이 라면 자네 는 왜 결과렬 2 k mod N, 3 k mod N, A K mod 한시각용암호화 

에 적 합하지 않다고 생각하나?》 

《 이보게，와트손， K 가 비밀 이 라고 해도 부분적 이 기는 하지만 그것을 예 





견할수 없네. 자네는 암호분석자가 F 와 렬의 일반적속성을 안다고 가정한다고 
했지 . 그럼 그가 출구렬의 짧은 토막을 엄 어 낸다고 가정해 보라구. 암호체 계 
에서는 이런 가정이 충분히 있을수 있는것으로 여기고 있네. 그리고 이 출구렬 
에 대하여 첫번째 두 원소만 알면 그것이 비록 전부는 아니라고 하여도 렬의 
다음요소들을 상당히 많이 예견할수 있게 되며 결과 이 렬은 암호학적으로 강 
도가 높다고 볼수 없네. 또 좀 더 긴 토막을 알아 내려면 그는 다음요소들을 
훨씬 더 많이 예견할수 있게 되지. 보라구. 렬의 일반적속성과 첫 두 원소 2 k 
mod N 과 3 k mod N 만 알면 자네는 다음요소들을 쉽게 계산할수 있네….》 

9. RSA 는 문제 1의 행렬 Ml , M 2 및 M 3 에 의해 어떻게 표현될수 있는가? 

10. 다음과 같은 방식을 고찰하자. 

1) 홀수 月 1 를 취 한다. 

2) 두 씨수 p 와 e 를 취한다. 여기서 ( p — 1) 始一 1) 一1은 표에 의해 완전히 나 
누어 진다. 

3) P 와 (2 를 곱하여 "을 구한다. 

4) D : (시)後- 1)( 표-이을 계산한다. 

E 

이 방식이 RSA 와 동등한가? 왜 그런지 아닌지를 설명하시오. 

11. B 가 통보문을 암호화하여 A 에게 보내는 다음과 같은 방식을 고찰하자. 

1) A 는 ( P _ l ) 과 ( Q _ l ) 이 서 로 소인 두개의 큰 씨수 P 와 公를 택한다. 

2) A 는 자기 의 공개열 쇠 로서 N=PQ 를 공개한다. 

3) A 는 P P^l ( modg - l ) 이 고 QQ r =l ( modP -1) 인 미 와 分를 계 산한다. 

4) B 는 M 을 C= M n (mod A 0 으로 암호화한다. 

5) A 는 M s C p Vod 公) 와 M s C e ''(mod 피 를 풀어 M 을 구한다. 

1 ) 이 방식 이 어 떻 게 동작하는가를 설 명 하시 오. 

l ) 이것이 RSA 와 어떻게 차이나는가? 

c ) 이 방식 에 비 하여 RSA 의 우점은 무엇 인가? 

e ) 문제 1의 행렬 Ml , M 2 및 M 3 에 의해 어떻게 표현할수 있는가? 

12. 《와트손, 이건 아주 흥미 있는 사건일세.》홈스가 말하였다. 《한 총각이 처 
녀를 사랑하고 처녀 역시 총각을 사랑하거든. 그런데 처녀의 아버지가 별난 작 
자여 서 사위 감은 반드시 자기 회 사의 콤퓨터 망에 서 그가 리용하는데 알맞는 공 
개열쇠암호체 계 를 위한 간단하면서 도 안전성 이 담보된 규약을 설계해 내 야 한 
다고 우기고 있다네. 그래서 그 젊은이는 량자간의，실례로 사용자 B 와 그에게 
통보문 M 을 보내 려고 하는 사용자 A 사이의 통신을 보장하기 위한 다음과 같은 
규약을 작성했네 (교환되는 통보문의 형식은 보내는 사람의 이름，본문，받는 
사람의 이름으로 이루어 짐). 

1) A 가 ( A , E KUb M , A , 리를 B 에게 보낸다. 

2) 묘가 ( B , E KUa M ， B , A ) 를 A 에게 보내서 받았다는것을 인정한다. 

규약이 정말 간단하다는것은 자네도 알수 있을거야. 그런데 처녀의 아버지는 총각 
이 간단한 규약을 만들라는 자기의 요구를 만족시키지 못했다고 주장하고 있네. 
그 리유인즉 그 규약에 군더더기가 있으며 다음과 같이 간략할수 있다는거네. 

1) A 가 ( A , E KUb M , 피를 B 에게 보낸다. 
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2) B 가 ( B , E KUa [ M ], A ) 를 A 에 게 보내 서 받았다는것 을 인정 한다. 

이런 리유로 처녀의 아버지는 자기 딸이 그 총각에게 시집가는것을 허락하지 
않았고 결국 두 사람은 불행하게 되 였지 . 그 총각이 나에게 도움을 청 하러 금 
방 여기에 왔댔네.》 《그래，자네가 그를 꽤 도와 줄수 있을가?》분명 와트 
손은 그 불쌍한 젊은이가 자기의 사랑을 잃어 버릴것갈아 걱정하고 있었다. 

《 내 생 각에 는 도와 줄수 있 을것 같네 . 와트손，자네 도 알겠지 만 군더더 
기 가 있 으므로 하여 때 로는 규약의 보안을 보장하는데 유리할수도 있지 . 처 녀 
의 아버지가 간략한것으로 하여 오히려 그 새로운 규약이 원래의 규약은 이겨 
낼수 있던 공격을 받아 피해를 볼수 있게 되버렸네.》 

홈스는 깊은 생각에 잠겨 말하였다.《그래，와트손. 정말 그래 . 보라구! 
적 이 바라는것은 바로 망사용자들중의 하나가 되여 A 와 B 사이에 오가는 통보 
문을 가로 채는것 이지 . 망의 한 사용자가 됨 으로써 그는 자기 자신의 공개암호 
열쇠를 가지고 자기의 통신을 A 나 B 에게 보낼수도 있고 그들의것을 받을수도 
있게 되지. 축소 간략화된 규약의 도움으로 그가 다음의 절차를 리용하고 있 
는 B 에게 사용자 A 가 이전에 보낸 통보문 M 을 그때에는 얻을수 있게 되 
지. …》 

13. 여기에는 다른 한가지 고속제곱연산알고리듬이 있다. 이것이 그림 6-7 의것과 
동등하다는것을 보여 주시오. 

1) ck - l ; TVa ; E<-b 

2) if odd ( e ) then d<-dxT 

3) E <- LE /2」 

4) TVTxT 

5) if E >0 then goto 2 

6) output d 

14. 공통씨수 상 =11 이고 원시뿌리 a =2 인 디피-헬만을 고찰하자. 

자)사용자 A 가 공개열쇠 Y A =9 를 가지면 A 의 비밀열쇠 X A 는 무엇인가? 

L ) 사용자 B 가 공개열쇠 Y B =3 을 가지 면 공유된 비 밀 열쇠 K 는 무엇 인가? 

15. 《 그러 나》하고 와트손은 말하였 다.《 당신의 의 뢰 자들은 자기 들의 망에 서 디 피 
-헬만열쇠교환규약을 리용하네 . 그것은 리산로그에 기초하고 있는데 이것 이 힘 
든 문제의 하나로 알려 져 있지?》 

《옳네，와트손.》홈스는 머 리를 끄떡 이였다.《적 당한 파라메 터선택 에 대 
한 리산로그문제는 정말 어렵지. 나의 의뢰자들이 그것을 알고 있고 바로 그래 
서 그들은 이 열쇠배포방법을 택한거야. 불행하게도 그들의 안전담당전문가들 
은 능동적 인 적 이 종종 피 동적 인 적 보다 더 성 공적 이 라는것 을 깨 닫지 못했 네 . 
적은 또한 자기가 적당한 기회에 리산로그문제를 풀수 없다는것과 그래서 그 
어 떤 다른것 을 시 도해 야 한다는것 도 알고 있지 . 그리 고 나는 모리 어리 
( Moriarty ) 자신이 나의 의뢰자들의 통신에 흥미를 가지고 있다는것을 확신하 
며 그래서 나는 그들의 망에 대한 어떤 종류의 적극적 인 공격을 예상해 야 하거 
든. 와트손，모리어리는 절대로 피동적으로 가만히 있을 사람이 아니야.》와트 
손이 놀라서 물었다.《홈스，자넨 모리어리가 디피-헬만열쇠교환방식을 파괴할 
방법을 찾아 낼수 있으리 라고 생각하나?》 
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《 아，그건 그리 어 려운게 아니거든.》홈스는 미소를 지 었다. 

《모리어리가 바라는것은 바로 모든 통신을 가로 챌뿐아니라 파피해 버릴 
수 있는 통신경로안에 자기의 위치를 잡자는거야. 나는 모리어리가 그것을 충 
분히 해낼수 있는 능력이 있다고 보네. 이제 그러한 위치에 꼭 …》 

16. 타원곡선 E u ( l ，6) 을 고찰하자. 즉 mod p = ll 에 관하여 十*쓩6으로 곡선 

이 정의된다. E u ( l ，6) 의 모든 점들을 구하시오. 암시: ; c 의 모든 값에 대하여 
등식의 오른변을 구하는것부터 시작하시오. 

17. £^(1,6) 에 대하여 점 G =(2,7) 을 고찰하자. 2 G 부터 13 G 까지 G 의 배수들을 
구하시 오. 

18. 이 문제 는 6. 5에 서 강조된 방식 을 리 용하여 타원곡선암호화/복호화를 진행한다. 
암호체 계의 파라메터는 E u ( l ,6) 과 G =(2,7) 이 다. B 의 비밀열쇠 는 « B =7 이 다. 

자 ) 묘의 공개열 쇠 ft 를 구하시 오. 

L ) A 가 통보문 戶„=(10,9)를 암호화하고 란수 오=3을 취한다. 암호문 을 
구하시 오. 

n ) 묘가 Q 을 으로 회 복하는 계산과정 을 보여 주시 오. 

19. 1985년에 리 엘가말 ( T . ElGamal ) 은 디 피-헬만기술과 밀접한 련관을 가지는 리 
산로그에 기 초한 공개열쇠방식 을 발표하였다. 디 피-헬만에서처 럼 엘가말방식 의 
대역적요소는 씨수 g 와 g 의 원시뿌리 oc 이다. 사용자 A 는 비밀열쇠 X A 를 취하 
고 디 피-헬만에서 처 럼 공개열쇠 Y A 를 계산한다. 사용자 A 는 다음과 같이 사용 
자 B 에 게 보낼 평 문 M 句를 암호화한다. 

1) 1 < k < 요一1인 옹근수 쇼를 택 한다. 

2) K= (Y B ) k (mod 상)를 계산한다. 

3) M 을 옹근수쌍 ((。다)로 암호화한다. 여기서 Ci(mod q) , C 2 =KM (mod 
q ) 이 다. 

사용자 묘는 다음과 같이 하여 평문 M 을 얻는다. 

1) K= (Cl) (mod 상)를 계 산한다. 

2) M =( C2 ^ _1 ) (mod 요)를 계 산한다. 

체계의 동작을 보여 주라. 즉 복호화처리가 평문을 얻는다는것을 보여 주시오. 

20. 공통씨수 상=기이고 원시뿌리 a =7 인 엘가말방식을 고찰하자. 

1) B 의 공개열쇠 가 Y B =3 이 고 A 가 우연옹근수 소=2를 택하면 M =30 의 암호 
문은 무엇 인가? 

L ) 이제 A 가 오의 다른 값을 취 하여 M =30 의 암호문이 C= (59, C 2 ) 이 라면 옹 
근수 다은 무엇 인가? 

21. 부록 6의 알고리듬 마을 개선한다. 

1) 2 n 번의 곱하기와 번의 더하기를 요구하는 알고리듬을 개발하시오. 

암시 : ^ +1 = x i Xx . 

L ) 오직 n + 1 번의 곱하기 와 더 하기만을 요구하는 알고리 듬을 개 발하시 오. 

암시 : ?( x )= a 0 ^ p < q ( x ). 여기서 요 0 c ) 는 ( n -1) 차다항식 이다. 
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부록 6： 알고리듬의 복잡성 


암호알고리듬을 분석하는데서 기본문제는 주어 진 공격을 취 하는 시간량이다. 전형 
적으로 가장 효과적 인 공격알고리듬을 구하였다는것을 믿을수 없다. 사람들이 그렇게 말 
할수 있는 가장 중요한것은 특별한 알고리듬에 대 하여 공격 에 대 한 효과준위가 특별한 
크기 순서 이 라는것 이 다. 그때 에 야 특별 한 알고리 듬의 보안준위 를 결정 하는 현재 또는 예 
언된 처리의 속도에 대한 크기순서를 비교할수 있다. 

알고리 듬의 효과성 에 대 한 공통적 인 척 도는 그의 시 간복잡성 이다. 모든 «과 길 이 n 
인 모든 입력에 대하여 알고리듬의 실행이 기껏해야 f («) 개 단계를 취한다면 그 알고리 
듬의 시간복잡성은 f («) 이라고 정의한다. 이리하여 주어 진 크기의 입력과 처리속도에 
대 하여 시 간복잡성은 실행시 간에 관한 웃한계 이 다. 

여기에는 몇가지 애매성이 있다. 우선 단계의 정의가 정확하지 않다. 단계는 튜링기 
계，하나의 처 리 기 계 명 령，하나의 고준위 언 어 명 령 등의 단순한 조작이 다. 그러 나 단계 에 
대한 이런 여러가지 정의는 모두 곱하기상수와 관련되여 있다. «의 아주 큰 값에 대하여 
이런 상수들은 중요하지 않다. 중요한것은 관련되는 실행시간이 얼마나 빨리 성장하는가 
이 다. 실례 로 RSA 에 대 하여 50자리 (n = 10 5() ) 또는 100자리 어 = 10™)의 열쇠를 리용하는 
가 아닌가에 대해 고찰한다면 매 열쇠의 크기를 파피하는데 정확히 얼마만한 시간이 걸 
리는가를 아는것은 필요 없다(또는 실제적으로 불가능하다). 오히려 효과준위를 보여 주 
는 원형그림부분에 만 관심 을 가지 게 되 여 극적 으로 관계 되 는 효과가 큰 열쇠 크기 에 대 하 
여 얼마나 요구되는가를 알고 싶어 한다. 

다음으로 제기되는 문제는 일반적으로 말하여 f ( n ) 에 대한 정확한 식을 끌어 낼수 
없다는것 이다. 오직 그것을 근사시 킬수만 있다. 그러 나 다시 초기에 n 이 커지는데 따라 
f ( n ) 의 변화비률에 관심 을 가지 게 된 다. 

알고리듬의 시간복잡성을 특징 짓는 개념으로서 큰 기호 O 를 사용하는 표준적인 수 
학적표시가 있다. 그 정의는 다음과 같다. f ( n )=0( g ( n )) 이기 위해서는 두개의 수 a 와 M 
이 있어서 

| f ( n )| < aX|g(n)|, n>M (6_2) 

일것 이 필요하고 충분하다. 

실례를 통하여 이 개념을 명백히 하자. 

P ( x ) = a ^ c 11 + a 네중 … + aix+ao 

형 태의 일반다항식 을 평 가하려 고 한다고 가정 하자. 다음의 알고리 듬은 [ POHL 81] 에서 
나온것 이 다. 


algorithm P1 ； 

n,i,j ： integer : x,polyval : real ； 
a, s：array [0.. 100] of real ； 
begin 

read(x, n); 

for i：=0 upto n do 
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begin 


s [ i ] : =1； read (a [ i ]); 

for j：=l upto i do s [ i ] := x >_! i ] : 

s [ i ] ：= a [ i ] Xs [ i ] 

end ； 

polyval : =0; 

for i : =0 upto n do polyval : = polyval+s [ i ] : 
write (Value at ', x , ‘ is ’， polyval ) 

end. 


이 알고리듬에서 매 부분식들은 따로따로 평가된다. 매 s [ f ] 는 ( i +1) 번의 곱하기 즉 
s [ i ] 를 계산하는데 i 번의 곱하기와 a [ i ] 로 곱하기 한번을 요구한다. «개 항모두를 계산하 
는데 는 


之 ( 비 ) = (n + 2)(n + l) 

i=o 2 

번의 곱하기 를 요구한다. 또한 아주 많은 회 수의 곱하기 에 비 하면 무시할수 있는 (n+1) 
번의 더 하기 가 있 다. 이 리하여 이 알고리 듬의 시 간복잡성 은 f ( h ) = (지 +2) ( n +1) /2이 다. 
이제 f («)=0(« 2 ) 임을 보자. 식 6-2 의 정의 로부터 = l 과 M =4 에 대 하여 이 식은 g ( n ) 
=« 2 로 성 립 한다는것을 보여 주자. 이것 을 II 에 관한 귀 납법 으로 증명한다. w = 4 일 때 성 
립한다. 왜냐하면 (4 千2)(4 + 1)/2=15 < 4 2 =16이기때문이다. 이제 이것이 公까지의 모든 
지값에 대하여 성 립한다는것을 가정하자. 이때 ra = it + l 라고 하면 


(« + 2)(« + 1) _ (k + 3 )(k + 2) 

2 2 

= ( k + 2 )(k + l) +k+2 
2 

< 灰 2 + 好수 :2 

< k 2 +2k+2=(k+l) 2 =n 2 


그러 므로 결과는 «=쇼_일 때 참이 다. 

일반적으로 큰 기호 O 개념은 가장 빨리 성장한다는 술어를 리용하게 한다. 실례로 

1. O ( a /+ ac 3 + sin 0 c )) =Oiax 7 ) =0(/) 

2. O(e n +an 10 )=O(e n ) 

3. O(n!+n S0 )=O(n!) 

큰 기호 O 개념 에 대 하여 보다 매 력적 인것들이 많이 있다. 관심 있는 독자들을 위하 
여 한가지 지적해 줄 도서는 [GRAH94] 이 다. 

크기 지인 입력을 가진 알고리듬은 
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• 실행 시 간이 O ( n ) 이 면 선형 이 다. 

• 실 행 시 간이 어 떤 상수 t 에 대 하여 O ( n 0 이 면 다항식 이 다. 

• 실행시간이 어떤 상수 t 와 다항식 h («) 에 대하여 oG hW ) 이면 지수 적이다 

고 말한다. 

일반적 으로 다항식시간내 에 풀수 있는 문제를 가능한것 으로 고찰하며 다항식시 간보 
다 더 나쁜것 특히 지수함수적시간을 불가능한것으로 고찰한다. 그러나 이 런 술어들에 
주의하여야 한다. 우선 입력의 크기가 충분히 작다면 아주 복잡한 알고리듬조차도 가능 
한것으로 된다. 실례 로 단위시 간당 10 12 개 연산을 실행할수 있는 체계 가 있다고 가정 하자. 
표 6-6 은 여 러 가지 복잡성 에 관한 알고리 듬을 한시간단위 로 조종할수 있는 입 력의 크기 
를 보여 준다. 지수함수적시간 또는 차례곱시간의 알고리듬에 대하여 오직 작은 입력만 
을 달성할수 있 다. 

표 6-6. 여러가지 복잡성수준의 효과수준 

~공절•성 크기 연전~ 


다음으로 주의해야 할 문제는 입력을 특징 짓는 방법이다. 실례로 암호알고리듬의 
암호분석의 복잡성을 열쇠의 길이 나 가능한 열쇠의 개수에 의하여 동등하게 잘 특징 
지을수 있다. DES 에 대하여 실례로 가능한 열쇠의 개수는 2 56 이며 열쇠의 길이는 
56 bit 이다. 하나의 암호화를《단계》로，가능한 열쇠의 개수를 尺=，으로 고찰한다면 알 
고리 듬의 시 간복잡성 은 «의 개 수에는 선형 O ( A 0 이지 만 열쇠 의 길 이 에 는 지 수함수적 
Q (2 n ) 이 다. 


2 2 2 2 2 2 

10 : 10 1 10 1 10 : 10 : 10 1 

10 11 

=10 3>< 10 12 10 6 10 2 꿈 
2 101 

og2nn2«6n fl 2 ft! 
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제 7 장. 수론초보 


공개열쇠 알고리듬에서는 일련의 수론적개념들이 본질적 이 다. 이 장에서는 다른 장들 
에서 참고로 쓰이는 개념들을 개괄한다. 이런 개념을 알고 있는 독자들은 이 장을 뛰여 
넘을수도 있다. 

수론의 개념들과 기교들은 아주 추상적이므로 실례없이 직접 습득하는것은 힘들다 
[ RUB 97 b ]. 그러 므로 이 장에 서 는 실 례 들을 많이 준다. 


7.1 씨수와 서로 소 

수론에서 중심적개념은 씨수이다. 그러므로 이 제목에서는 이 책에서 필요로 하는 
씨수에 관한 내용들을 개괄한다. 특별히 강조하지 않는 한 부아닌 옹근수만을 취급한다. 

약수 

어떤 m 에 대하여 이면 feO 은 a 를 나눈다고 한다. 여기서 a 와 b ， m 은 옹근수이 

다. 즉 나누기에 관하여 나머지가 없으면 b 는 a 를 나눈다. 6가 a 를 나눈다는것을 6나로 
표시한다. 또한 6 나이 면 6를 a 의 약수라고 한다. 

24의 약수는 1, 2, 3, 4, 6, 8，12, 24 이 다. 

다음의 관계 가 성 립 한다. 

• a|l 이면 a 이다. 

• 이고 이면 a = 土'용 이 다. 

• 임의의 feO 은 0을 나눈다. 

• 6 |g 이고 이/? 이면 임의의 옹근수 «과« 에 대하여 6| (mg + /泊) 이다. 

마지막관계를 고찰하자. 


이 g 이면 요는 어떤 옹근수 射 에 대하여 g=bX 射 이고 
b\h 이면 쇼는 어떤 옹근수、에 대하여 h = b'X hi 


이므로 


mg + nh = mbgi + nbh\ = 公 X (mgi + nh\) 


이 다. 따라서 b 는 mg + «/? 를 나눈다. 
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公 = 7; g = 14; 쇼 = 63; m = 3; « = 2 

7[14 이고 기 63 이다. 7|(3 X 14 + 2 X 63) 이라는것을 보자. 

(3 X 14 + 2 韓 63) = 7(3 X 2 + 2 X 9) 로부터 분명 히 
기 (7(3 X 9)). 

씨수 

어 떤 옹근수 /?>1 의 약수들이 오직 ±1 과 ± J 5 뿐이 면 J 5 를 씨수라고 한다. 씨수는 수 
론에 서 그리 고 이 장에 서 론의되 는 기 법 들에 서 결정 적역 할을 한다. 

표 7-1 은 2000 보다 작은 씨수들을 보여 준다. 

임의의 옹근수 a > l 을 

a=p a i l p a 2 . -P a t' 

와 같이 씨 수들의 적 으로 유일 하게 인수분해 할수 있 다. 여 기서 아令'…'?此 이 고 매 «,>0 
이다. 

91 = 7 X 13 ； 11011 = 7 X II 2 X 13 

이 표식 을 리용하면 다음과 같은 점 에서 유리하다. 요가 씨 수모두의 모임 이 면 임 의 
의 정 의 옹근수를 다음과 갈은 형 식 으로 유일 하게 표시할수 있 다. 

a = n p ap ’ 여기서 外 - o 


오른변은 가능한 씨수 모두우에서의 적 이며 임의의 a 의 매 개 값에 대 하여 제곱지수 
방의 대부분은 0 이 다. 

3600 = t X 3 2 x 5 2 

임의의 주어 진 정의옹근수의 값을 우의 공식화에서 령아닌 제곱지수모두를 간단히 
렬거할수 있다. 

옹근수 12 는 {«2~2, «3=1} 로 표현된 다. 

옹근수 18 은 { a 2 = l , 的 =2} 로 표현된다. 

두 수의 곱하기 는 대 응하는 제 곱지 수들의 더 하기 와 동등하다. 즉 모든，에 대 하여 
k = mn -누 k p = m p + n p 

^ = 12 X 18 = 216 
足 2 = 2 + 1 = 3; 灰 3 =1 + 2 = 3 
216 = 2 3 X 3 3 
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이것은 인 씨인수들에 관하여 무엇을 의미하는가? /형태의 임의의 옹근수는 오 

직 j 삯 인 一형 태의 옹근수로만 나누어 질수 있 다. 이 리 하여 모든，에 대 하여 

a\b a p <b p 

이라는것을 알수 있다. 

a = 12； 6=36; 12|36； 12 = 2 2 X 3； 36 -家女 3 2 
a 2 = 2 = b 2 
a 3 = l< 2 = 

서로 소 


두 수 a 와 6의 최 대 공약수 (greatest common divisor) gcd(a,6) 를 리 용하자. 다음 
의 조건들을 만족시키면 정의옹근수 c 를 a 와 6의 최대공약수라고 한다. 

1. c 는 a 와 6 의 약수이다. 

2. a 와 6의 임의의 약수는 c 의 약수이다. 

동등한 정의는 다음과 같다. 

gcd ( a ，6) = max [灰, 灰 |a 이고 灰|6] 

최 대 공약수는 정 수일것 을 요구하므로 

gcd (a, 公》一 gcd (a, ~b) - gcd i~a,b) - gcd (-a ，一 公) . 

일반적으로 gcd ( a ，6)= gcd (| a |，|6|). 

gcd (60,24) - gcd (60, -24) - 12 

또한 모든 령 아닌 옹근수들은 0을 나누므로 gcd(a,0) = |a|. 

모든 옹근수들을 씨 수들의 적 으로 표시하면 두 정 의 옹근수의 최 대 공약수를 결정하는 
것 은 아주 쉽다. 

300 = 2 2 x 3 1 X 5 2 
18 = 2 1 3 2 

gcd (18,300)= 2 1 x 3 1 X 5 0 = 6 

일 반적 으로 모든 p 에 대 하여 

k= gcd (a, 公) k p = mm{a p , b p ) 
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큰 수의 씨인수를 결정하는것은 쉬운 일이 아니므로 우의 관계식을 최대공약수를 계 
산하는데 직접 리용할수 없다. 7. 5에서 이에 대한 론의를 한다. 

두 옹근수 a 와 6가 공통의 씨 인수를 가지지 않는다면 즉 공통의 인수가 오직 1뿐이 
면 a 와 6는 서로 소이다고 한다. 이것은 gcd ( a ，6)= l 이면 a 와 b 는 서로 소이다고 하는 
것과 동등하다. 

8의 약수는 1，2，4，8이고 15의 약수는 1，3，5,15 
이므로 8과 15는 서로 소이 다. 


7.2 Mod 산수 

임의의 정의옹근수 „과 임의의 옹근수 a 가 주어 졌을 때 ^를 „으로 나누면 다음의 
식 이 성 립하는 상 상와 나머 지 r 를 엄 는다. 

a = qn + r 0 < r< n', q = La /«」 

여 기서 Lx 」 는 x 보다 크지 않은 최 대옹근수이 다. 



그림 7-1. 식 a = qn + r ； 0 < r< n 


그림 7-1 에서 는 a 와 정 의 «이 주어 졌을 때 우의 식 을 만족시키 는 상와 r 를 구하는것 
은 항상 가능하다는것을 보여 준다. 수직선우에 옹근수를 표시 하자. 즉 a 를 수직선우에 
표시 하자. 0 부터 시 작하여 qn < a 이 고 (q-\~l)n > a 인 우«까지 n, 2n, …, 등으로 표시 해 
나간다. 으로부터 a 까지의 거리가 r 이므로 상와 r 의 유일한 값을 구하였다. 나머지 r 를 
때때로 잉여라고도 한다. 

a = 11 ； n = l\ 11 = 1 X 7 + 4; r = 4 

a =-11 ； n = T, -11 =(_2)X 7 + 3; r = 3 

a 가 옹근수이고 « 이 정의옹근수이면 a mod «을 a 를 «으로 나누었을 때의 나머지로 
정의한다. 이 리하여 임의의 옹근수 a 에 대 하여 항상 다음과 같이 쓸수 있다. 

a = U /«」x n+ (a mod n) 


11 mod 7 = 4； -11 mod 7 = 3 
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두 옹근수 a 와 6 에 대 하여 (a mod n)=(b mod «) 이 면 a 와 b 는 모드 «에 관하여 합 
동이 라고 한다. 이것을 a s 스 mod n 으로 표시 한다. 


73 = 4 mod 23； 21 = -9 mod 10 

a = 0 mod « 이면 «|a 이 라는것을 강조한다. 

모드연산자는 다음의 성질들을 만족시킨다. 


1. n | (a~b) °] D d a = b mod n 

2. (a mod n)=(b mod n) 이 면 a = b mod n 

3. a = b mod n 이 면 公 s a mod n 

4. a = b mod n 이 고 公 s c mod n 이 면 a = c mod n 

첫번째 성 질을 고찰하자. n|(a — 6) 이 면 어 떤 소에 대 하여 (a — 6) =加이다. 따라서 

加으로 쓸수 있다. 그러므로 

(a mod n) = (b+ 뇨을 «으로 나누었을 때 의 나머 지 ) 

= (6를 «으로 나누었을 때의 나머지) 

= (b mod n) 


23 

— 8 = 15 = 5 x 

: 3 

이므로 

23 = 8 (mod 5) 

-11 

- 5 =-16 = 8 > 

<(-2) 

이므로 

-11 = 5 (mod 8) 

81 

- 0 = 81 = 27 

X3 

이므로 

81 s 0(mod 27) 


나머지성질들도 쉽게 증명된다. 

Mod 산수연산 

정의 (그림 7-1) 로부터 (mod n ) 연산자들은 모든 옹근수를 옹근수모임 {0，1，즈… 
( n -1)} 안에 로 넘 긴다. 이때 다음과 같은 문제 가 제 기된다. 이 모임안에서 산법연산을 진 
행할수 있겠는가? 그것을 다음과 같이 할수 있다. 그 기법 이 바로 Mod 산수로 알려 져 
있 다. 

Mod 산수는 다음의 성질들을 만족시킨다. 

1. [(a mod mod n )] mod n = (d^.b) mod n 

2. [(a mod n) — (b mod n)] mod n=(a — b) mod n 

3. [(a mod n) X (公 mod n )] mod n=(aX b) mod n 

첫째 성질을 고찰하자. (、a mod «)= 이고 (b mod n) = 라고 하자. 이때 어떤 
옹근수 j 에 대하여 a = r a +jn 이고 어떤 옹근수 소에 대하여 b = 다 + 새이다. 그러 므로 

(a+b) mod n={r a + jn + r b + kn) mod n 
~ \r a + & + ( 灰 + y ) n\ mod n 
= (r a + r b ) mod n 

= [(a mod n) + (b mod n )] mod n 
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나머지성질들도 쉽게 증명된다. 3개 성질들에 대한 실례가 있다. 


11 mod 8 = 3； 15 mod 8 = 7 

[(11 mod 8) + (15 mod 8)] mod 8 = 10 mod 8 = 2 

(11 + 15) mod 8 = 26 mod 8 = 2 

[(11 mod 8)-(15 mod 8)] mod 8 = - 4 mod 8 = 4 

(11-15) mod 8 = -4 mod 8 = 4 

[(11 mod 8) X (15 mod 8)] mod 8 = 21 mod 8 = 5 

(11 X 15) mod 8 = 165 mod 8 = 5 


제 곱연산을 보통의 산법연산에서처 럼 곱하기산법연산의 반복으로 진행할수 있다 
(7. 7에서 제곱연산을 구체적으로 론의한다). 


II 7 mod 13 을 다음과 같이 구할수 있 다. 

II 2 = 121 s 4 mod 13 

II 4 = 4 2 = 3 mod 13 

II 7 s 11 x 4 X 3 = 132 = 2 mod 13 


이리하여 더하기와 덜기，곱하기를 가지는 보통의 산법규칙들이 Mod 산수에 대해서 
도 성 립 한다. 


표 7-2 는 mod 8에 관한 더 하기와 곱하기 를 보여 준다. 더 하기 를 보면 결과는 간단하게 
행 렬에서 4각형안에 있다. 또한 보통의 더 하기 에서 처 럼 Mod 산수의 매수에 대 하여 더 하 
기 반대수 즉 부수가 있다. 

이 경우에 수 도의 부수는 *%=0 mod 8인 수 j 이 다. 왼쪽렬 에서 어 떤 수의 더 하기 반대수 
를 구하려면 우선 행렬에서 대응하는 행을 조사하여 값 0을 찾는다. 그다음에는 그 행의 
득대 기 수가 더 하기 반대 수이 다. 이 리 하여 2+6=0 mod 8. 류사하게 곱하기 표에 서 입 구들 
도 간단화된다. 보통의 산법 에서 는 매수에 대 하여 곱하기역수가 있다. 모드 8에 관한 
Mod 산수에 서 는 x 의 곱하기 역 수는 jcXj s 1 mod 8인 수 기이 다. 이제 곱하기 표에서 어 떤 
수의 곱하기역수를 구하려면 우선 그 수가 있는 행을 조사하여 값 1을 구한다. 그다음 그 
렬의 득대기수가 곱하기역수이다. 이 리하여 3 X 3=1 mod 8이다. mod 8에 관한 모든 수들 
이 곱하기역수를 가지는것은 아니라는것을 강조한다. 이것을 후에 론의한다. 


Mod 산수의 성질 

모임 八을 «보다 작은 부아닌 옹근수들의 모임으로 정의한다. 즉 
Z „={0, 1, 2, ...,(，广1)} 

이것을 모드 n 에 관한 나머지들의 모임 이 라고 한다. 이 모임안에서 Mod 산수를 진 
행하면 다음의 성 질 들이。의 옹근수들에 대 하여 성 립한다. 
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( (~a) + a + b) - ( (~a) + 公 . ■+ c) mod n 
b = c mod n 


그러 나 다음의 명제 는 일정한 조건하에서 만 성 립한다. 

a 가 « 과 서 로 소이 라는 조건 하에 서 {a X b) - (a X c) 이 면 b 드 c mod n (7-2) 


우의 조건 이 성 립하지 않는 실 례 
6 X S = 18 s 2 mod 8 
6 X 7 = 42 s 2 mod 8 

그러 나 3은 mod 8에 관하여 7과 합동이 아니 다. 


이런 현상이 생기는 원인은 임의의 일반적인 mod «에 대하여 인수 a 를 수 0부터 
(«-1)사이에 실제로 적용할 때 a 와 «이 공통인수를 가지면 나머지들의 완비모임이 얻어 
지지 않기때문이다. 


a = 6 이고" = 8일 때 


Z 8 

0 

1 

2 

~T 

4 

5 

6 

7 

6 으로 곱하기 

0 

6 

12 

18 

24 

30 

36 

42 

나머지 

—5 - 

~6~ 


~Y 

—5 - 

~6~ 

~T 

~Y 


6으로 곱할 때 나머 지 들이 완비모임 으로 되 지 않기 때 문에 Z 8 의 여 러 수들이 같은 나머 지 
에로 넘어 간다. 특히 6x0 mod 8=6x4 mod 8이며 6X1 mod 8=6x5 mod 8 등등이 
다. 이것은 다 대 일 넘기기이므로 곱하기연산에 관하여 유일한 역수가 없다. 

그러 나 a=5 이 고 을 취 하면 



Z 8 



¥ 



1 



¥ 



y 



j 
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나머지행 은 Z 8 의 모든 수들을 서 로 다른 순서 로 포함한다. 

최종적으로 夕가 씨수이면 Z p 의 모든 원소들은 夕와 서로 소이다. 이것은 우에서 렬거 
된 다음과 갈은 하나의 성질을 가질수 있게 한다. 


곱하기 역수 (w 1 ) _ 매 we Z" 에 대 하여 wx z = 1 mod 인 고가 있다. 


씨는 p 와 서로 소이므로。의 모든 원소들을 씨로 곱하면 그 결과의 나머지들은。의 
치환된 원소모두를 포괄한다. 이 리하여 나머지들중의 적 어도 하나는 값 1을 가진다. 그 
러므로 씨로 곱할 때 Z p 의 어떤 수가 있어서 나머지 1로 된다. 이 수가 바로 씨의 곱하기 
역수이다. 이것을 w _1 로 표시한다. 이 리하여 식 7-2 는 곱하기역수의 존재성 에 모순되지 
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7.3 페르마정리와 오일레르정리 

공개열쇠암호에서 중요한 역할을 하는 두 정리는 페르마정리와 오일레르정리이다. 


페르마정리 

페 르마정 리 는 다음과 같다.，가 씨수이 고 a 가，로 나누어 지 지 않는 정 의 옹근수 


이면 


公厂 1 = 1 mod p 


(7-3) 


중명 : 앞절의 론의로부터 Z p 의 원소모두를 mod 에 관하여 a 로 곱하면 그 결과는 
일정 한 순서 로。의 원소들을 이 룬다. 그리 고 aXO = 0 mod 夕이 다. 그러 므로 (夕_1)개 
의 수 {a mod p, 2a mod p, … (p~l)a mod p } 들은 일정한 순서 로 수 {1, 2, •••, ip~l)} 
로 된다. 이 수들을 다음과 같이 곱하자. ‘ 


aX 2a 父 . … X ((p-1) a) - [( 幻 ! mod p) X (2a mod p) ((p-1) a mod 夕 )] mod p 

= (p~l )! mod p 

그러나 

a X 2a M … [(p — l)a]= (p~l) \cf~ l 

그러므로 

(p-l) \cf~ x = {p-1 )! mod p 

아 一 1)! 은 夕와 서로 소이므로 그것을 제거할수 있다(식 7-2 를 보시오). 이로부터 식 7-3 
이 나온다. 

a = 7, p = 19 

7 2 =A9= 11 mod 19 

t =121 = 7 mod 19 

7 8 = A9 = 11 mod 19 

7 16 =121 = 7 mod 19 

cT 1 = 7 18 = 7 16 x 7 2 =7 x 11 = 1 mod 19 

이 정리에 대한 다른 하나의 형식이 또한 유용하다. 즉 /? 가 씨수이고 a 가 정의옹근 
수이 면 

cf = a mod p (7-4) 

p = 5, a = 3 , 3 5 = 243 = 3 mod 5 
p = 5, 公 = 10, 10 5 = 100000 = 10 mod 5 = 0 mod 5 
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오일레르함수 

오일레르정 리를 제기하기전에 수론에서의 중요한 오일레르함수 파 («) 을 도입 할 필요 
가 있다. 여기서 c|)(n) 은 n 보다 작으며 «과 서로 소인 정의옹근수들의 수이 다. 

표 7-4 는 c |)(«) 의 첫 30개 값들을 렬거한다. 값 파 (1) 은 의미가 없지만 값 



씨 수，에 대 하여 분명 히 

^{p) = p — 1 

이 다. 이제 두 씨수 /?와 상가 있다고 가정하자. 이때 n = pq d \] 대하여 

(K«) — X(|)( 公 ) = (p-1) X ( 公 一 1) 

이것을 보기 위하여 八의 나머지들의 모임이 {0,1,2, … ，(/지 一 1)} 이라는것을 고찰하자. 
«과 서로 소가 아닌 나머지들은 모임 切，2夕，…，(상一 1) 公}, 모임 {상，2상，…，(刀一 1) 상와 0 
이다. 따라서 

^{ n ) = pq —\_{q — 1) + (/» — 1) + 1] 

= /자 一 (夕 + 公) 牛 1 
= (p - 1) X (gr - 1) 

= (|)(p) X(|)( 公 ) 
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파 (21) = 12 x <|)(4) = 2 x 6 = (3 - 1) x (7 - 1) 

토서 12개 의 옹근수들은 {1，2,4,5,8,10,11,13,16,17,19,2아 이 다. 






오일레르정리 

오일 레 르정 리는 서로 소인 매 와 «에 대 하여 다음과 같이 정식화된 다. 


a ^ n) = 1 mod n (7-5) 

a = 3', n = 10', c |)(10) = 4; 3 4 = 81 e 1 mod 10 
a = 2] n = 11； < K 11) = 10； 2 10 = 1024 = 1 md 11 

증명 : « 이 씨수이면 파(«) = («-1) 인 경우이므로 식 7-5 는 성 립하며 따라서 페르마정 
리 가 성 립한다. 그러 나 이것은 또한 임의의 옹근수 «에 대해서도 성 립한다. 항 («) 은 «과 
서 로 소이 며 n 보다 작은 정 의 옹근수의 수이라는것 을 상기 하자. 다음과 같이 표시 한 이 런 
옹근수들의 모임을 고찰하자. 

， X2 ， • • • ，-^(|) (n) } 

이 제 mod n 에 관하여 매 원소들을 a 로 곱하자. 즉 

S = { {axi mod n ) , (公 x 2 mod n ) . (公자 („) mod n ) } 

이 모임 은 다음과 같은 리 유로 하여 묘 의 치 환이다. 

1. a 가 «과 서 로 소이 고 차가 n 파 서 로 소이므로 ax t 역 시 «파 서 로 소이 여 야 한다. 
이 리하여 은의 원소모두는 «과 서 로 소이 고 «보다 작은 옹근수이 다. 

2. S 에는 중복이 없다. 식 7-2 °11 귀착된다. ax t mod n = axj mod « 이면 x { =Xj 
이다. 

그러므로 

< P ( n ) < l >( n ) 

[I (axi mod «) = I: 어 
/ =1 / =1 

^(«) < Kn ) 

도[ 次자 ᄐ Xi ( mo d n ) 

i=l i=l 

\m 1 Hn ) 

a ^ {n) 시 fl 시 三 Y[ Xi ( mc) d n ) 

L i=l 」 / =i 

a Hn 、 三 1 (mod n ) 

이 정리에 대한 다음과 같은 다른 한가지 형식이 또한 유용하다. 

a Hn)+l ^ a (mod n ) (7-6) 

우의 따름을 RSA 알고리듬의 타당성을 보여 주는데 유용한 오일레르정리에로 발전 
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시킬수 있다. 주어 진두 씨수 P 와상 그리고 0 < m < n 인 옹근수 «=께와 m 에 대하여 
다음의 식 이 성 립한다. 

m H " )+l = w (广 1)( ᅡ 1 ) +1 = m mod n (7-7) 

gcd ( m，«)=l 즉 m 과 « 이 서 로 소이 면 오일 레 르정 리 (식 7-5) 에 의 하여 식 이 성 립 한 
다. gcd ( m ，«) 쇄이라고 가정 하자. 이것은 무엇을 의미 하는가? 이 므로 식 gcd ( m ，«) 
= 1은 론리 식 ( m 은，의 배 수가 아니 다. ) AND ( m 은 q 의 배 수가 아니 다. )와 동등하다. m 
이，의 배수라면 «과 하은 씨 인수，를 공유하므로 서 로 소가 아니며 m 이 상의 배수라면 
m 과 «은 씨 인수 q 를 공유하므로 서 로 소가 아니 다. 그러 므로 식 gcd ( m ， n ) 뉴1은 우의 
론리식의 부정과 동등해야 한다. 따라서 식 gcd ( m ，«)^ l 은 론리식 ( m 은 /7의 배수이다.) 
OR ( m 은 q 의 배 수이 다. )와 동등이다. 

m 이，의 배수인 경 우를 고찰하자. 이때 는 어 떤 정의옹근수 c 에 대 하여 식 m = cp 가 
성 립한다. 이 경 우에 는 gcd ( m , 상)=1이 여 야 한다. 그렇 지 않으면 m 이 夕의 배 수이고 또 
한 아이 상의 배 수이 므로 m < 夕상이 다. gcd ( m , 당) =1이 면 오일 레 르정 리 가 성 립 하므로 다 
음과 갈다. 

m ^ (q) = 1 mod q 

그러나 이때 Mod 산수의 규칙으로부터 

= 1 mod 상 
m Hn) = 1 mod q 

이리하여 어떤 옹근수 소가 있어서 


m Hn) = l J rkq 

이 다. 량변을 m = c 夕로 곱하면 

m 하 n)+1 = m + kcpq = m + ken 
m^ (n)+x = m mod n 

마찬가지 로 m 이 q 의 배 수인 경 우도 증명할수 있 다. 이 리하여 식 7-7 을 증명하였 다. 
이 따름에 대한 다음과 같은 다른 하나의 형식이 유용하다. 

⑷유 = 1 mod n 

m k _ = 1 mod n (7-8) 

m mn)+l = m t( ^ 1)(? - 1)+1 ^ m mod n 
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리 용하면 
=1 mod 7； 


6 =-1 mod 7 


x 2 =1 (mod 8) 

표 7-2의 i • 을 리 용하면 

I 2 = 1 mod 8 

3 2 s 9 mod 8 s 1 mod 8 

5 2 s 25 mod 8 s 1 mod 8； 5 s -3 mod 8 

7 2 s 49 mod 8 s 1 mod 8； 7 = -1 mod 8 

풀이: 1,-1,3,-3 


7.4 씨수판정 

큰 수가 씨수인지 아닌지를 결정하는 단순하고도 효과적인 수단은 없다. 여기서는 
한가지 매력적인 방식을 제기한다. 우선 몇가지 결과들을 유도하는것이 필요하다. 첫번 
째는 다음과 같다. 

P y \ 홀씨수이면 방정식 

x 2 = 1 (mod p ) 

는 오직 2 개의 풀이 즉 x s 1과 x s -1 만을 가진다. 

중명 : 

x 2 — 1 = 0 (mod p ) 

(x + 1) (x — 1) - 0 (mod p ) 

Mod 산수의 법 칙에 의 하여 마지막식은，가 ( x +1) 또는 ( x -1) 혹은 둘 다를 나눌것 
을 요구한다.，가 (x + 1) 과 (x — 1) 을 둘 다 나눈다고 하자. 이때 어 떤 옹근수 소와 y _ 에 
대 하여 나+1) =切이고 ( x — l )= y 公이라는것 을 알수 있다. 두 식을 덜면 2=(소一/)夕이다. 
이 방정 식 은에 대 하여 서 만 참으로 될수 있 다. 정 리 에 의 하여 홀씨 수에 대 해 서 만 고 
찰한다. 그러므로 주어 진 풀이 x 에 대하여 비 紅 +1) 이거나 /?|( x _ l ) 이며 둘 다 성립하 
지 는 않는다 . ，|(x — 1) 이 라고 가정한다. 이 때 어 떤 소에 대 하ᅪ 

X — 1 = kp 

이 므로 x = 1 mod 夕이 다. 마찬가지 로 다른 풀이 에 대 하여 x = -1 mod 를 얻 는다. 


정리를 다음과 같이 다른 방식으로 정식화할수 있다. •아닌 x 2 sl(mod n) 의 풀이 
가 존재하면 «은 씨 수가 아니 다. 

이제는 어떤 수가 씨수인지 아닌지를 검사하는 알고리듬을 정식화할수 있다 
[MILL75, RABI80] . 핵 심 알고리 듬 WITNESS 는 다음과 같이 정의된다. 

WITNESS (a, n) 

1. b k b k -!.. .b 0 이 (n — 1) 의 2 진표현이 라고 하자. 

2. d 1 

3. for i <- k downto 0 

4. do x d 


7) 을 7 7 
od 사 odmod-1 
m 의 maml’ 
1(-3136: 
III 7 =1 =1 이 
X 2 표 作 h6 2 풀 
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5. d <r- (d X d) mod n 

6. if d = 1 이 고 幕 1 # 1 이 며 x:..,n — 1 

7. then return TRUE 

8. if 切 = 1 

9. then d 4 - (d X a) mod n 

10. if d # 1 

11. then return TRUE 

12. return FALSE 

WITNESS 에로의 입력은 씨수인지 아닌지를 판정해야 할 수 n 과 «보다 작은 어떤 
옹근수 a 이 다. 목적은 n 이 씨수인지 아닌지를 관정하는것 이 다. WITNESS 가 TRUE 를 
귀환하면 n 은 확정적 으로 씨 수가 아니며 FALSE 를 귀환하면 씨 수일 수도 있 다. 

WITNESS 와 Mod 산수에서 의 제곱을 계산하는 그림 6_7의 알고리듬을 비교해 보면 
3행 부터 9행 은 값 a "' 1 mod «으로서 c / 를 계 산한다는것 을 알수 있 다. «이 씨 수이 면 a " 一 1 
= 1 mod «이 라는것 이 페 르마정 리 (식 7-3) 로부터 나온다. 이 리하여 d 의 최 종결 과가 1이 
아니 라면 «은 씨수가 아니 라는것 이 나오며 TRUE 를 귀 환한다. 이제 6행의 판정을 고찰 
하자. ( n -1) = -1 mod n 이 므로 이 행 은 ±1아닌 뿌리 로 x 2 s 1인지 아닌지 를 판정 한다. 
앞에서 정식화한 정 리에 의하여 이 조건은 n 이 오직 씨수일 때만 성 립한다. 이 리하여 이 
판정은 통과되 고 WITNESS 는 TRUE 를 귀환한다. 


그림 6-8을 다시 고찰하자. 이 경우에 «=561이고 <2=7이 다. 

a 280 = 67 mod 561이 고 a 560 = 1 mod 561이 므로 WITNESS 는 마지 막두제 곱단계 에 서 » 
아닌 2차뿌리를 하나 구한다. 이 시점에서 WITNESS 는 TRUE 를 귀환한다. 


그래서 WITNESS 가 TRUE 를 귀 환하면 수 «은 씨 수가 아니 다. 씨 수가 아닌 홀수 n 
과 우연적으로 선택된 옹근수 a < «이 주어 졌을 때 WITNESS 가 FALSE (즉 «이 씨수 
가 아니 라는것 을 판정하는것 이 실패)를 귀 환할 확률은 0.5 이 하이라는것 을 보여 줄수 있 
다 [ CORM 90]. 

이 것은 일정한 신뢰성 으로 홀수 n 이 씨수인지 아닌지 를 판정할 토대 를 준다. 그 절 
차는 다음과 같다. 우연적 으로 선택된 값 a 를 리용하여 WITNESS ( a ， n ) 를 반복한다. 임 
의의 시점에서 WITNESS 가 TRUE 를 귀환하면 n 은 씨 수가 아니라는것이 판정된다. 
WITNESS 가 련속적으로 s 번 FALSE 를 귀환하면 «이 씨수일 확률은 적어도 l _2_ s 이다 
( CORM 90, 843페 지를 보시 오) . 이 리 하여 충분히 큰 값 H 대 하여 «이 씨 수일것 이 라는것 
을 확신할수 있다. 


7.5 유들리드알고리듬 

수론에서 기초기법중의 하나는 두 정의옹근수의 최대공약수를 구하는 간단한 절차인 
유클리 드알고리 듬이 다. 확장된 형 태의 유클리 드알고리듬은 두 정의 옹근수의 최대 공약수 
를 구하고 이 수들이 서로 소이면 다른것에 관하여 한 수의 곱하기역수도 구한다. 
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최대공약수구하기 

유클리드알고리듬은 다음의 정리에 기초하고 있다. 임의의 부아닌 옹근수 a 와 임의 
의 정의옹근수 6에 대하여 

gcd ( a ，6) = gcd (6 ，a mod b) (7-9) 

gcd (55,22) - gcd (22,55 mod 22) - gcd (22,11) = 11 

이것을 보기 위하여 c /= gcd ( a ，6) 라면 gcd 의 정의 에 의하여 c /나이 고 비6이 다. 임의 
의 정의옹근수 6에 대하여 a 를 

a=kb+r - r mod 公 
a mod b=r 

형태로 표현할수 있다. 그러므로 어떤 옹근수 소에 대하여 나 mod —油이다. 그러 

나 넜|6이므로 그것은 또한 kb 를 나눈다. 또한 이 다. 그러므로 d\ {a mod 6) 이 다. 이 
것은 넜가 6와 {a mod 6) 의 공약수라는것을 보여 준다. 그러므로 넜가 6와 (a mod 6) 의 
공약수이 면 비油와 d\ [kb+(a mod 6)] 도 공약수이 고 따라서 c /| a 와 동등하다. 이 리 하여 
a 와 6의 공약수들의 모임 은 6와 (a mod 6) 의 공약수들의 모임 과 같다. 이 리 하여 하나의 
최대공약수는 다른것의 최대공약수와 갈으며 따라서 정리는 증명된다. 

식 7-9 를 반복적으로 리용하여 최대공약수를 구할수 있다. 

gcd (18,12) = gcd (12,6) = gcd (6,0) =6 
gcd ( ll , 10) = gcd (10,1) = gcd ( l ，0) =1 

유클리드알고리듬은 식 7-9 를 반복리용하여 최대공약수를 다음과 같이 구한다. 이 
알고리듬은 d >/> 0이라는것을 전제로 한다. gcd ( a ，6)= gcd ( kl ， |6|)이므로 알고리듬 
을 정의옹근수에로 제한하여도 일반성을 잃지 않는다. 

EUCLID ( d ， f ) 

1. X<-f ； Y<-d 

2. if Y =0 return X = gcd ( d , f ) 

3. R=X mod Y 

4. X<-Y 

5. Y<r-R 

6. goto 2 

어떤 독자들은 이 처리가 완료된다는것을 어떻게 담보할수 있는가라고 물을수 있다. 
즉 일정한 시 점 에서 Y 가 표를 나눈다는것 을 어 떻게 믿 을수 있는가? 그렇지 않다면 정의 
옹근수들의 무한렬 이 있어서 매수는 엄격 히 자기앞의 수보다 작아야 하는데 이것은 분명 
히 불가능하다. 
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gcd (1970，1066) 을 구 하자. 


1970=1X1066+904 

gcd (1066, 904) 

1066=1X904+162 

gcd(904，162) 

904=5X162+94 

gcd (162,94) 

162=1 x 94+68 

gcd (94,68) 

94=1 x 68+26 

gcd (68,26) 

68=2 x 26+16 

gcd (26,16) 

26=1x16+10 

gcd (16,10) 

16=1 x 10+6 

gcd (10,6) 

10=1讀.建'+4 

gcd (6,4) 

6=2X2+2 

gcd (4,2) 

2=2 x 2+0 

그러므로 gcd(1970，1066)=2 

gcd (2,0) 


급하기역수구하기 

gcd ( c /，/)= l 이 면 d 는 mod /에 관하여 곱하기 역 수를 가진다. 즉 정 의 옹근수 넜</에 
대 하여 dd x =\ moJ / 인 cf 1 < fy \ 존재 한다. 유클리 드알고리 듬을 확장하여 gcd “/， y ) 를 
구하는것외 에 도 최 대 공약수가 1이 면 이 알고리 듬은 d 의 곱하기역수를 귀 환한다. 

EXTENDED EUCLID ( d ， f ) 

1. ( Xl ， X 2， X 3)<-( l ，0， f ); ( Yl ， Y 2， Y 3)<-(0， l ， d ) 

2. if Y 3=0 return X 3= gcd ( d ， f ); 역수 없다. 

3. if Y 3 =l return Y 3= gcd ( d , f )； Y 2= d _1 mod f 



5. ( T 1, T 2, T 3 )(XI - QY 1, X 2- QY 2, X 3- QY 3) 

6. ( X 1， X 2， X 3)<-( Y 1， Y 2， Y 3) 

7. ( Y 1， Y 2， Y 3)<-( T 1， T 2， T 3) 

8. goto 2 

계 산을 통하여 다음의 관계 식 이 성 립한다. 

fTl + dT 2= T 3 fXl + dX 2= X 3 fYl + dY 2= Y 3 

이 알고리 듬이 정 확히 gcd (成/)를 귀 환한다는것 을 보기 위하여 유클리 드알고리 듬의 
X ， Y 를 각각 확장된 유클리 드알고리듬의 X 3, Y 3 과 갈게 하면 두 변수의 취급은 같다는 
것을 강조한다. 유클리드알고리듬의 매 반복에서 표는 모의 선행값과 같게 놓는다. 마찬 
가지로 확장된 유클리드알고리듬의 매 단계에서 X 3 은 Y 3 의 선행값과 같게 놓으며 Y 3 은 
X 3 의 선행값 - Y 3 으로 나눈 X 3 의 상과 같게 놓는다. 이 마지 막값은 단순히 Y 3 으로 나눈 
X 3 의 나머지 X 3 mod Y 3 이 다. 

또한 gcd ( d ， f )= l 이면 최종단계에서 Y 3=0 이며 X 3 = l 이라는것을 강조한다. 그러므 
로 선행단계에서 Y 3 = l 이다. 그러나 Y 3 = l 이면 다음과 갈은것을 알수 있다. 
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fYl + dY 2= Y 3 
fYl + dY 2 = l 
dY 2 = l +(- Yl)xf 
dY 2 =l mod f 


그리 고 Y 2 는 mod /에 관하여 J 의 곱하기 역 수이다. 


표 7-5 는 알고리 듬의 실 행 실 례 이 다. gcd(550,1769) =1 이 며 550 의 곱하 
기 역수는 그자체 즉 550X550 = 1 mod 1769 이 라는것을 보여 준다. 


표 7-5. 확장된 유콜리드 (550,1769) 


Q 

下厂 

1 X2 | 

X3 


| Y2 

| Y3 

— 

1 

0 

1769 

0 

1 

550 

3 

0 

1 

550 

1 

-3 

119 

4 

1 

-3 

119 

-4 

13 

74 

1 

-4 

13 

74 

5 

-16 

45 

1 

5 

-16 

45 

-9 

29 

29 

1 

-9 

29 

29 

14 

-45 

16 

1 

14 

-45 

16 

-23 

74 

13 

1 

-23 

74 

13 

37 

-119 

3 

4 

37 

-119 

3 

-171 

550 

1 


이 알고리듬에 대한 보다 구체적 인 증명은 [ KNUT 9 기에 있다. 


7.6 중국나머지정리 

수론에서 가장 중요한 요소의 하나는 중국나머지정리 ( CRT ) 이다 (CRT 는 Chinese 
Remainder Theorem 의 략자이 다). 본질에 있어서 CRT 는 일정한 령 역의 옹근수들을 
둘씩 서 로 소인 나머 지 들의 모임 을 모드로 하는 나머 지 들로 재 구성할수 있 다는것 이 다. 


z 10 의 10개 옹근수 {0,1,.,9} 들을 (10 의 서로 소인 씨인수)2와 5를 모드로 하는 

두 나머 지 들로 재 구성할수 있다. 10 진수자 x 의 알려 진 나머 지 는 r 2 = 0 과 r 5 = 3 즉 x 
mod 2=0 이고 x mod 5 = 3 이 라고 하면 ;c 는 Z 10 의 짝수이며 동시에 5 로 나누었을 때 3 이 
다. 유일한 풀이는 x=8 이 다. 


CRT 를 여러가지 방식으로 정식화할수 있다. 이 책의 관점에서 가장 유용한 정식화 
를 여 기서 제 기한다. 다른 하나의 정 식 화는 문제 7-13 에서 설명한다. 

M=]Jm i 
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라고 하자. 여기서 m, •는 둘씩 서로 소이 다. 즉 1 < /，_/< 소에 대하여 gcdCm,-, »^) =1이 
다. 다음과 갈은 대응 

A •난 {ai,a 2 . a k ) (7_10) 

을 리용하여 Z M 의 임의의 옹근수를 오차벡토르로 표현할수 있다. 여기서 AsZ m , 
ai s Z m . 이고 1 < / < 소에 대하여 a t =A mod 째이 다. CRT 는 다음과 같은 두개의 주장 
을 의ᅪ한다. 


1. 식 7-10 의 넘기기는 ᄊ 직적 Z, xZ m2 邊;轉 v 家 Z mk 사이의 1:1 대응이 다. 즉 
0 < A < M 인 매 옹근수 义에 대 하여 0 < 이 < 예인 유일 한 오차벡 토르 
( ai ,a 2 , 마)가 있으며 이런 매 소차벡토르에 대하여 Z m 의 유일한 교가 있다. 

2. ^의 원소들에 대하여 진행된 연산을 동등하게 대응하는 오차벡토르들우에서 
진행할수 있으며 이 때 매 성 분들에 대 한 연산은 독립 적 이 다. 

우의 두번째 주장을 다음과 같이 정식화할수 있다. 

소 —■( 幻 ! 1 ， « 2 , ... ， a k ) ; B-^{bi ， b 2 , ...,b k ) 

라면 

(A+B) mod M {(a\+b{) mod mi,-", (a k +b k ) mod m k ) 

(A—B) mod M {(a\—bi) mod mi,-", (a k —b k ) mod m k ) 

(A XB) mod M 今 — {{a\~><bi) mod m ^， …， (a k Xbk) mod m k ) 

첫번째 주장을 고찰하자. 乂에서 ( ai , a 2 , 바)에로의 변환은 분명히 유일하다. 
왜냐하면 a t =A mod rm 로 취하기때문이다. (아， a 2 , ...，바)로부터 4 의 계산은 다음과 
같이 할수 있 다. 1 < / < 灰에 대 하여 M t = M/nii 라고 하자. Mj = mi X W2 > • • • X m t -\ X 
■ 勢，이 므로 모든 ，. | 송/에 대 하여 M t = 0(wod w；) 이 다. 이 때 1 < ?•< 灰에 대 하여 

c i =M i X (Mj -1 mod mi) (7-11) 

라고 하자. 체의 정의 로부터 그것은 m, •와 서 로 소이므로 mod m, •에 관하여 유일한 곱하 
기 역수를 가진다. 따라서 방정 식 7-11 은 타당하며 유일한 값 다를 결정한다. 이제 는 


A = (^a,.c. ) mod M (7-12) 


를 계산할수 있다. 

식 7-12 에 의 해 결정된 값 교가 정 확하다는것 을 보기 위 해서 는接 i < 소에 대 하여 
a t =A mod m, •이 라는것을 보여 주어 야 한다.유= l(mod m ,) 이 면 Cy ^ Mj^OCmod m,) 
이다. 
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산법연산과 관련되 는 CRT 의 두번째 주장은 Mod 산수에 대 한 규칙 으로부터 나온다. 
중국나머지정리의 유용한 기능의 한가지는 mod M 에 관한 수(극히 큰 수)를 보다 
작은 수들의 벡토르로 관리하는 방법 을 주는것 이 다. 이것은 살이 150자리 이상일 때 유용 
할수 있다. 


973 mod 1813을 mod 37과 49에 관한 수쌍으로 표현하자. 

mi = 37 

쪄2=49 

M = 1813 
M =973 

또한 M l = 49 이 고 M 2 = 37 이 다. 확장된 유클리 드알고리 듬을 리 용하면 M[ l = 34 mod 
쨔이 고 Mj 1 =4 mod w 2 이 다(종국적 으로는 매 M , 와 JW 기 을 계 산해 야 한다는것 을 강조한 
다). mod 37과 49에 관한 나머지 를 취 하면 973의 표현은 (11,42) 이 다. 왜 냐하면 973 
mod 49=42이 기때문이 다. 

이 제 678과 973을 더하려 고 한다고 가정 하자. (11， 42) 로 무엇 을 하는가? 우선 (678) 
난 (678 mod 37，678 mod 49) = (12,41) 을 계 산한다. 이 때 벡 토르성 분별 로 더 하면 
(11+12 mod 37, 42+41 mod 49)=(23,34) 로 된다. 이것이 정확하다는것을 검증하기 위하여 

(23,34) 令 + a\M\ M f^+a 2 M 2 Mj 1 mod M 

= [(23) (49) (34) + (34)(370 ( 端] mod 1813 
=43350 mod 1813 
= 1651 

을 계 산하여 그것 이 (973 + 678) mod 1813 = 1651 과 같다는것 을 검 열한다. 1651 (mod 
1813) 을 73으로 곱하려고 한다고 가정하자. (23,24) 를 73으로 곱하면 (23 x 73 mod 37, 
34 X 73 mod 49) - (14, 32) 로 된 다. 

(14,32) 다 [(14) (49) (34)+ (32) (37) (4)] mod 181$: 

=865 

= 1651 X 73 mod 1813 
이라는것이 쉽게 검증된다. 


7.7 리산로그 

리 산로그는 디 피 -헬 만의 열 쇠 교환과 수자서 명 알고리 듬 ( DSA ) 을 포함한 일 련의 공개 
열쇠알고리 듬에서 기 본이 다. 이 절 에서 는 리산로그에 대 하여 간단히 개괄한다. 흥미 있 
는 독자들이 이에 대한 보다 구체적인것을 참고하기 위하여서는 [ ORE 76] 과 [ LEVE 90 f 
을 보시오. 
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mod « 에 관한 제급 

오일 레 르정 리 (식 7-5) 로부터 서 로 소인 매 a 와 «에 대 하여 
a ^ n) = 1 mod n 

이 라는것 을 상기하자. 여 기서 오일레 르함수 c|)(n) 은 n 과 서 로 소이며 «보다 작은 정의옹 
근수들의 수이다. 이제 일반식 


a m = 1 mod n (7-13) 

을 고찰하자. 와 n 이 서로 소이면 적어도 하나의 옹근수 m 이 있어서 식 7-13 을 만족시 
킨다. 식 7-13 이 성 립하는 최 소의 정의제곱지수 m 은 다음과 같이 여 러 가지 용어 로 불리 
운다. 


• a (mod n) 의 차수 

• a 가 속하는 mod «에 관한 제곱지수 

• a 로 생성된 주기의 길이 


우의 마지막관점에서 mod 19 에 관한 7 의 제곱을 고찰하자. 


t=l mod 19 

7 1 2 =49=2X19+11=11 mod 19 

7 3 =343=18X19+1 = 1 mod 19 

7 4 =2401 = 126X 19+7=7 mod 19 

7 5 =16807=884X19+11 = 11 mod 19 


렬이 반복되므로 계속할 필요는 없다. 이것은 7 3 = l(mod 19) 이다는것을 강조하여 증명 
할수 있 으므로 ^=^^7=7^06. 19) 이 며 따라서 제 곱지 수가 3( 또는 3 의 배 수)아닌 
7 의 임의의 2 개의 제곱들은 (mod 19 에 관하여)서 로 합동이다. 달리 말하여 렬은 주기 
적이며 주기의 길이는 7 m = l(mod 19) 인 가장 작은 정의제곱지수 m 이다. 표 7-6 은 모 
든 정의 a<19 에 대하여 mod 19 에 관한 a 의 제곱모두를 보여 준다. 다음과 같은것을 강 
조한다. 

1. 모든 렬은 1로 끝난다. 이것은 앞절들의 론의에 모순되지 않는다. 

2. 렬의 길 이는 파 (19) =8 을 나눈다. 즉 렬의 완전한 수는 표의 매 행 에서 발생한다. 

3. 어떤 렬들은 길이 18 이 다. 이 런 경우에는 밑수 a 가 mod 19 에 관한 부아닌 옹근수 

들의 모임 을 생성한다(제곱을 거 처). 이 런 매 옹근수를 mod 19 에 관한 원시뿌리 

라고 한다. 
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모에 대하여 


로그의 성질은 다음과 같다. 


log “ l )=0 

(7-14) 

log ^( x ) =1 

(7-15) 

\ og x ( yz ) ^ log x ( y ) + log x ( z ) 

(7-16) 

log ^(/)= rXlog x ( j ) 

(7-17) 


어떤 씨수，에 대한 원시뿌리 a 를 고찰하자(인수는 물론 씨수가 아니라고 한다). 이 
때 1부터 (夕_1)까지 a 의 제곱은 정확히 한번 1부터 (夕_1)까지의 매 옹근수로 된다. 또 
한 임 의 의 옹근수 6를 Mod 산수의 정 의 에 의 하여 

b = r mod p, 여기서 0 < r < (p—1) 

의 형태로 표현할수 있다. 임의의 옹근수 6와 씨수，의 원시뿌리 a 에 대하여 

b = a' mod p, 여기서 0 < / < (p — 1) 

인 유일 한 제 곱지 수 /를 구할수 있 다는것 이 나온다. 이 제 곱지 수 /를 mod 에 관한 밑 
수 a 의 첨수라고 한다. 이 값을 ind a ,/6) 로 표시 한다. 

다음의 사실이 성립한다. 

a 0 mod p = l mod 夕 = 1 이 므로 ind 사 (1) 
a mod 이 므로 ind 사 ( a)=l 

씨수아닌 모드를 리용하는 실례이다. « = 9라고 하자. 

파(«) =6이 고 a = 2 는 원시 뿌리 이 다. a 의 각이 한 제 곱을 구하자. 

2 0 =1 2 4 =7 

2 l =2 2 5 =5 (mod 9) 

2 2 =4 2 6 =1 

2 3 =8 

이 리하여 mod 9에 관하여 뿌리 a =2 에 대 한 다음과 같은 첨 수와 수들의 표를 엄 는다. 


(7-18) 

(7-19) 
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주어 진 수의 첨 수를 얻 기 위하여 9와 서 로 소인 나머 지 들이 초기입 구이 도록 표를 재 배 
치한다. 



이제 

^ = a mdap<x) mod p 7 = a md «，^ v ) mo d 夕 

j<y= a miap(xy) mod p 

를 고찰하자. 모드곱하기규칙을 리용하면 

a miap(xy> mod p= (a miap(x) mod p) (a miap<y) mod p) 

= (a ind 0 , W+ ind^) ) mQdp 

그러나 서로 소인 매 a 와 «에 대하여 

a^ n) = 1 mod n 

이 라는것을 의미 하는 오일레 르정 리 를 고찰하자. 임의의 정의 옹근수 z 를 z = 상+別) ( n ) 형 태 
로 표현할수 있다. 그러므로 오일레르정 리로부터 

z=q mod 本 («) 이면 a=a q mod n 

이것을 앞의 등식에 적용하면 

ind a ，/：^) = [ind a ， / x)+ind avP (y)] mod 命 ( 刀 ) 

이며 일반화하면 

ind a ， p (/) = [r x ind a … (y) ] mod 命 (p). 

이것은 실제로그와 첨수사이의 류사성을 보여 준다. 이 리유로 하여 후자를 때때로 리산 
로그라고도 한다. 

표 7-6 으로부터 직접 유도된 표 7-7 은 mod 19 에 관하여 정의될수 있는 리산로그들의 모 
임을 보여 준다. 
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문 제 

1. 이 문제 의 목적 은 두 란수가 서 로 소일 확률은 0.6 정 도이라는 6. 2에 서 나오는 주장 
을 론증하는것 이다. 

1) /^ PrUgccKa ,*) =1] 이 라고 하자. Pr [ gcd ( a ，6) =넜] =/>//이 라는것 을 증명 하 
시오. 

암시: 량 고_찰하시오. 

L ) 우의 문제 에서 가능한 모든 c / 값에 대 하여 결과들의 합은 1이 다. 즉 
^ Pr [ gcd ( a , b ) = d]=l 

d>\ 

이 등식을 리용하여 p 의 값을 결정하시오. 암시: 항등식 £ᄉ=<을 리용하시오. 

i=i i 6 

2. 두 린접한 옹근수 n 과 n +1 에 대 하여 왜 gcd ( n , n + l )= l 인가? 

3. 7. 2에 서 는 합동관계 를 다음과 같이 정 의 하였 다. (a mod n)=(b mod n ) 이 면 두 옹근 
수 a 와 b 는 mod «에 관하여 합동이 라고 한다. 이 때 «|(a — 6) 이 면 a = b mod «이 
라는것 을 증명하였 다. 수론에 대 한 일부 문헌들에서 는 이 마지 막식 을 합동관계 의 정 
의 로 리용한다. 즉 n |( a _ 幻 이 면 두 옹근수 a 와 6는 mod «에 관하여 합동이 라고 한 
다. 이 마지 막정의 를 출발점 으로 하면 (a mod n) = (b mod n ) 으로부터 n 은 (、a — b) 
를 나눈다는것을 증명 하시오. 


223 





4. 다음의것들을 증명 하시오. 

1 ) (a mod n) = (b mod «) 이 면 a = b mod n 이 다. 

\-) a = b mod n 이면 公 s a mod n 이 다. 

:) a s 公 mod « 이고 公 s c mod n 이면 a = c mod « 이다. 

5. 다음의것들을 증명하시오. 

i_|(a mod n) — (b mod n)] mod n= (a—b) mod n 
mod n) X (b mod n)] mod n= (aXb) mod n 

6. 페르마정 리를 리용하여 3 201 mod 11을 계산하시오. 

7. 고대중국수학자들읔 «이 씨수이기 위해서는 «이 (2"_2)틀 나누는것이 필요하고 충 
분하다는 그릇된 주장을 내놓았다. 

1) 홀씨수를 리용하여 이 조건을 만족시키는 실례를 드시오. 

L) « = 2일 때 이 조건은 분명 히 참이 다. if 조건을 증명하여 «이 홀씨 수이 면 이 조 
건은 참이 라는것을 증명하시오. 

n) 씨수도 아니며 이 조건도 만족시키지 않는 홀수 «의 실례를 만드시 오. 이 것을 
씨수 아닌 아주 큰 값으로 할수 있다. 이것이 바로 중국수학자들이 이 조건이 
참이면 «이 씨수라고 생각한 착오였다. 

5) 불행하게도 고대중국인들은 « = 341에 대해서는 시도하지 않았다. 이 n 은 씨수 
가 아니며 (341=11X31) 또한 나머지 없이 2 341 -2를 나눈다. 2 341 = 2 mod 341 
이 라는것을 오직 if 조건만을 론박하여 증명하시오. 암시 : 2 341 을 계산할 필요는 
없으며 그대신에 합동성을 리용하시오. 

8. 표 7-4 에서 파(시은 n〉2 에 대 하여 짝수이 다. 이것은 모든 n>2 에 대 하여 성 립 한다. 이 
것이 왜 그런가를 간단히 설명하시오. 

9. 1) gcd (24140, 16762) 를 구하시오. 
l ) gcd(4 況5, 12075) 를 구하시오. 

10. 이 문제 의 목적 은 유클리 드알고리 듬의 반복회 수의 웃한계 를 설정하는것 이 다. 

ᄀ) m=g«+r 라고 가정하자. g 와 r 는 부아닌 옹근수이며 0<r < n 이다. m/2 > r 이 라 
는것을 증명하시오. 

L) 不는 /번째 반복후에 유클리드알고리듬의 Z 값이 라고 하자. 

4<f 


이라는것을 증명하시오. 

c) m, «과 尺이 l<m, <2^인 옹근수이면 유클리드알고리듬은 기껏해야 27V ■단계내 
에 gcd(m，«) 을 구한다는것을 증명 하시오. 

11. 유클리 드알고리 듬은 2000년전에 알려 졌으나 항상 수론에서 유명한것이 였 다. 수천년 
이 지 난후 1961년 에 제 이 스테 인 (J. Stein) 이 새 로운 알고리 듬을 내 놓았다. 스레 인 
의 알고리듬은 다음과 같다. 싶， S>1 인 gcdC4，S) 를 구하자. 

단계 1. A X =A, B X =B, 디 = (3로 놓는다. 

단계 n. ① 셨„=5„이 면 정 지 하고 gcdC4，S) 게 xC„. 

② 次과 尾이 둘 다 짝수이면 A n+1 = An/2, B n+1 =B„/2, C„ +1 =2C„ 으로 놓는다. 
.③ 次이 짝수이 고 이 홀수이 면 A n+1 =A n /2, B n+l =B n , C„ +1 = C„ 으로 놓는다. 
④ 成이 홀수이고 이 짝수이면 A n+l =A n , B n+l =B n /2, C„ +1 =C„ 으로 놓는다. 
資 J A 과 이 둘 다 홀수이면 A n+1 = 놓는다. 
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단계 «+1을 계속한다. 

1) 두 알고리 듬의 차이 를 보기 위 하여 gcd (2152,764) 를 해 당한 알고리 듬을 리 용 
하여 계산하시오. 

L ) 유클리 드알고리 듬보다 스레 인알고리 듬의 우점 은 무엇 인가? 

12. 1) 스레 인알고리 듬이 «번째 단계 전에 정 지하지 않으면 

C„ + i X gcd ( A n + l ， B „ +1 ) = C n X gcd ( A „, B n ) 

이라는것을 증명하시오. 

l ) 이 알고리 듬이 단계 ( n _ l ) 전에 정 지하지 않는다면 


이라는것을 증명하시오. 

n) 1< A , B < 2^ 이 면 스레 인알고리 듬은 기껏 해 야 4 尺단계 내 에 gcd(m, «) 을 구한 
다는것 을 증명 하시 오. 이 리하여 스레 인알고리 듬은 유클리 드알고리 듬과 같은 회 
수로 거칠게 동작한다. 

ᄅ) 스레인알고리듬은 실제로 gcd04,5) 를 귀환한다는것을 론증하시오. 

13. 중국나머지정리의 공통적인 정식화는 다음과 같다. mi ,......, m k 가 1업’ j 삯와 부 j 에 대하 

여 둘씩 서로 소인 옹근수들이라고 하자. M-§r m ; 모두의 적이라고 한다. ai , 마를 
옹근수라고 하자. 이때 합동식들의 모임 


x = ai (mod mi ) 
x = a 2 (mod m 2 ) 

x = (mod m k ) 

은 mod M 에 관하여 유일풀이를 가진다. 이런 형태로 정식화된 정리는 참이라는것 
을 증명하시오. 

14. CRT 를 례증한 실례는 

x = 2 (mod 3) ; x = 3 (mod 5) ; x = 2 (mod 7) 

이였다. x 를 구하시오. 

15. 6명의 교수들이 각각 월，화，수, 목, 금，토요일에 강의를 시 작하며 각각 2, 3, 4, 
1, 6，5일동안의 강의계획이 발표되였다. 일요일에는 강의를 하지 않는다(따라서 일 
요일 강의는 빼 야 한다). 

6명의 교수모두가 언제 강의를 그만두게 되는가? 암시 : CRT 를 리 용하시오. 

16. 25의 원시뿌리모두를 구하시오. 

17. 29의 원시뿌리 2가 주어 졌을 때 첨수표를 만들고 그것을 리용하여 다음의 합동식을 
푸시오. 

ᄀ ) 17 x 2 s 10 mod 29 
ᄂ ) x 2 -4 r -16 s Omod 29 
n ) x 7 = 17 mod 29 
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제 8 장. 틍보문인증과 하쉬함수 


아마도 망보안기술에서 가장 복잡한 분야는 통보문인증과 수자서명 이 라고 해 야 할것 
이 다. 공격과 대응책 이 서로 몹시 얽히여 이 분야의 실천가들에게 모든 우연적 인 사건들 
을 설명하기 위한 시도로서 돌고 있는 원우에 돌고 있는 더 큰 원을 덧놓아 보려고 한 
고대의 한 천문학자를 상기시키기 시작하였다. 다행히도 이 옛날의 망각된 천문학자와는 
달리 오늘의 암호규약설계자들은 근본적으로 정확한 모형으로부터 출발하여 작업하고 있 
는것 같다. 한권의 책에 통보문인증과 수자서명을 제기하거나 실현하는 암호학적기능과 
규약들을 다 렬거하는것은 불가능하다. 그 대신에 이 장과 다음 두개 장의 목적은 이 문 
제에 대한 폭 넓은 개괄을 주고 여러가지 입문들을 서술하는 체계적인 방법들을 개발하 
는것 이 다. 

이 장은 렬거된 인증 및 수자서명에 대한 요구의 초보와 공격의 류형부터 시작한다. 
그다음에 점 차적으로 안전한 하쉬 함수의 중요한 분야들을 포괄하는 기본방식들을 개괄한 
다. 특수한 하쉬함수들은 9장에 서 설 명한다. 


8.1 인증요구 

망을 통한 통신에서는 다음과 갈은 공격들을 식별할수 있다. 

1. 로출 ( disclosure ) : 적당한 암호열쇠를 소유하지 못한 사람에게나 처리에서 
통보문내용의 루실. 

2. 통신량 ( traffic ) 분석: 부분들사이의 통신량패턴의 발견. 련결지향응용에서 
는 련결의 빈도수와 기간을 결정해야 한다. 련결지향 또는 련결 없는 환경 
에서 부분들사이의 통보문의 수와 길이를 결정해야 한다. 

3. 가장 ( masquerade ): 부정적인 원천지로부터 망안에 통보문의 삽입. 이것은 
인증된 실체로부터 오는것을 의미하는 적에 의한 통보문의 창조를 포함한다. 
또한 통보문수신자가 아닌 다른 어떤 사람에 의하여 통보문수신 또는 비수 
신의 인정 이 부정 적 이 라는것 을 포함한다. 

4. 내용부변경 : 삽입，삭제，전위 및 변경을 포함하는 통보문내용의 변화. 

5. 렬변경 : 삽입，삭제, 전위 및 재정돈을 포함하는 부분들사이의 통보문렬에 
대한 임의의 변경. 

6. 시간관계변경: 통보문의 지연 또는 재현. 련결지향응용에서는 완전한 대화 
또는 통보문렬들은 어떤 선행한 타당한 대 화의 재현이 여야 하거 나 렬의 개 
별적통보문들은 지연되거나 재시동되여야 한다. 련결 없는 응용에서는 개별 
적자료들이 지 연되 거 나 재 현되 여 야 한다. 

7. 거 절 ( repudiation ) : 목적지 에 의 한 통보문수신의 부인 또는 원천지 에 의 한 
통보문전송의 부인. 

첫 두개 공격을 취하는 척도는 통보문기밀성의 령역에 있으며 1편에서 취급되였다. 
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항목 3부터 6까지의 사항들을 취급하는 척도는 일반적 으로 통보문인증으로 고찰된다. 특 
별히 항목 7을 취급하는 기 구는 수자서 명의 머 리부에 놓인다. 일 반적 으로 수자서 명기술 
은 역시 항목 3부터 6까지의 렬거된 일부 또는 모든 항목들을 고려할것 이 다. 

개괄적으로 말하여 통보문인증은 수신된 통보문이 주장된 원천지로부터 오며 변경되 
지 않았다는것을 검증하는 절차이다. 통보문인증은 또한 중단 ( sequencing ) 과 시기적절 
함 ( timeliness ) 을 검증할수도 있다. 수자서명은 원천지 또는 목적지에 의한 거절에 대항 
하는 척도들도 포함하는 인증기술이다. 


8.2 인증함수 

임의의 통보문인증이나 수자서명을 기본적으로 두가지 수준으로 개괄할수 있다. 낮 
은 수준에서는 인증자 즉 통보문을 인증하는데 리용되는 값을 생성해 내는 어떤 종류의 
함수가 있어야 한다. 다음으로 이 낮은 수준의 함수는 수신자가 통보문의 인증성을 검증 
할수 있는 고수준인증규약에 서 초기값으로 리용된다. 

이 절에서는 인증자를 생성해 내는데 리용되는 함수들의 형태를 고찰한다. 이것著은 
다음과 같이 3개 부류로 나눌수 있다. 

• 통보문암호화: 완전한 통보문의 암호문이 인증자로서 종사한다. 

• 통보문인중부호 ( MAC ): 인증자로서 종사하는 고정길이값을 내보내는 통보문과 비 
밀열쇠에 관한 공개함수 

• 하쉬함수: 임의의 길 이의 통보문을 인증자로서 종사하는 고정 길 이하쉬 값으로 넘 기 
는 공개함수 

이제 매개 에 대 하여 간단히 설명한다. MAC 와 하쉬함수들은 8. 3와 8. 4에서 더 구체 
적 으로 설 명한다. 

통보문암호화 

통보문암호화자체 는 인증의 방법 을 제 공한다. 이 분석 은 전통암호방식 및 공개열 쇠 
암호방식 과는 차이난다. 

전통암호 

전통암호의 간단한 쓰임을 고찰하자(그림 8-1 의 1). 원천지 A 에서 목적지 B 에로 
전송된 통보문을 A 와 묘가 공유한 비밀열쇠 K 를 리용하여 암호화한다. 이 열쇠를 아는 
다른 사람이 없다면 기밀성이 담보된다. 즉 통보문의 평문을 발견할수 없다. 

그외 에도 B 는 통보문이 A 에 의해 생성 되 였음을 확신한다고 볼수 있다. 왜 그런가? 
A 는 K 를 소유한 유일한 다른 사람이며 따라서 K 에 의해 복호화될수 있는 암호문을 구 
성하는데 필요한 정보를 가진 유일한 다른 사람이기때문에 통보문은 A 로부터 와야 한다. 
더 나아가서 보이 발견된다면 K 를 모르는 적 은 암호문에서 요구하는 변화를 생성해 내 
는 암호문의 비 트들을 어 떻게 변경시키 였는가를 모르므로 B 는 M 의 그 어 떤 비트도 변 
경되지 않았다는것을 안다. 

그래서 전통암호는 기밀성은 물론 인증을 제공한다. 그러나 보통의 명제를 제한시키 
는것이 요구된다. 
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인증의 관점에서 볼 때 앞절들에서의 추리를 따르는것 이 자연스럽 다. 통보문 보이 
임의의 비트패런일수 있다고 가정하자. 이 경우에 들어 오는 통보문이 정당한 통보문의 
암호문인지 아닌지를 목적지에서 자동적으로 결정하는 방법이 없다. 이 결론은 론의할 
여지가 없다. 즉 보이 임의의 비트패런이면 표의 값을 고려함이 없이 Y = D K ( X ) 는 어떤 
비트패턴이며 따라서 인증되는 평문으로 접수되여야 한다. 

이 리하여 일반적으로 가능한 비트패턴모두의 어떤 유일하게 작은 부분모임만이 정당 
한 평문으로 고찰된다. 이 경우는 임의의 가짜 암호문이 정당한 평문을 생성해 내는데 
적 합하지 않다. 실례 로 오직 하나의 비트패 런만이 10 6 에 의 해 정 당한 평 문이라고 가정 하 
자. 이때 임의의 우연적으로 선택된 암호문으로서 취급되는 비트패런이 정당한 평문통보 
문을 생성해 낼 확률은 단지 i(r 6 이다. 

일련의 응용과 암호방식에 대하여 요구된 조건은 더 말할것없이 효과적이다. 가령 
하나의 밀기 ( K = l ) 를 가진 씨 저 ( Caesar ) 암호를 리 용하여 영 어 통보문을 전송하고 있 다 
고 가정 하자. A 는 다음과 같은 정 당한 암호문을 보낸다. 


nbsftfbupbutboeepftfbupbutboemjuumfmbnctfbujwz 


묘는 다음과 같은 평문을 생성해 내기 위하여 복호화한다. 


marseatoatsanddoeseatoatoatsandlittlelambseativy 


단순한 빈도수해석은 이 통보문이 보통영어의 륜곽을 가진다는것을 확인한다. 다른 한편 
적이 다음과 갈은 우연문자렬 


zuvrsoevgqxlzwigamdvnmhpmccxiuureosfbcebtqxsxq 


을 생성한다면 이것은 보통영어의 륜곽과는 어울리지 않는 


ytuqrndufpwkyvhfzlcumlgolbbwhttqdnreabdaspwrwp 


로 복호화한다. 

들어 온 암호문이 의 미 있는 평 문으로 복호화되 면 자동적 으로 결정하는것 은 힘들수 
있 다. 평 문이 2진형 의 파일 이 거 나 수자화된 X - 선이라면 적 당히 형 태 화되 고 인증된 평 
문을 결정하는것은 힘들수 있다. 이 리하여 적은 정 당한 사용자로부터 오는것을 의미하 
는 우연적 인 내 용과 통보문을 발행 함으로써 일정 한 수준의 분렬 ( disruption ) 을 달성 할 
수 있 다. 

이 문제에 대한 한가지 풀이는 쉽게 식별되지만 암호화함수에 대한 재학습이 없이는 
부본을 뜰수 없는 어떤 구조를 가진 평문에 집중하는것이다. 실례로 그림 8-2 의 자에서 
보여 주는것 처 럼 암호화하기전에 매 통보문에 틀검 사렬 ( FCS ) 또는 검 사합이라고 알려 
진 오유검출부호를 첨 가할수 있다. A 는 통보문 M 을 준비한 다음에 이 것을 FCS 를 생성 
해 내는 함수 표에 입 력으로 준다. FCS 를 보에 첨 가한 다음에 완전한 블로크를 암호화 
한다. 목적지 에서 묘는 FCS 를 재생성하기 위해 시도하는 같은 함수 묘를 적 용한다. 계산 
된 FCS 가 들어 온 FCS 와 갈으면 통보문을 인증된것으로 고찰한다. 임의의 우연비트렬 
이 요구하는 관계를 만족시키는것은 드물다. 
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FCS 와 암호화함수를 수행하는 순서 가 결정 되 였 다는것 을 강조한다. 그림 8-2 의 n 
보여 주는 렬은 내부오유조종으로서 [ DIFF 79] 에서 참조할수 있는데 여 기서 저 자 
부오유조종(그림 8-2 의 L ) 에 배치되게 하였다. 내부오유조종에서는 인증을 준다. 
하면 적 은 복호화할 때 오유조종비 트들을 타당하게 하는 암호문을 생 성하는것 이 힘 
때문이다. 그 대신에 FCS 가 바깥부호이면 적은 타당한 오유조종부호를 가진 통보문 






혼동 및 분렬조작을 창조하려고 할수 있다. 

오유조종부호가 바로 하나의 실례이다. 사실 전송된 통보문에 첨가된 임의의 종류의 
구조는 인증능력을 강하게 하는데 종사한다. 이런 구조를 계층규약을 구성하는 통신방식 
의 사용자가 준다. 실례 로 TCP / IP 규약방식 을 리용하여 전송된 통보문의 구조를 고찰하 
자. 그림 8-3 은 TCP 머 리부를 보여 주는 TCP 토막의 양식 이 다. 

이제 매 주콤퓨터쌍은 유일한 비밀열쇠쌍을 공유하며 따라서 적용을 고려함이 없이 주 
를퓨터쌍사이의 모든 교환은 같은 열쇠를 리용하였다고 가정하자. 이때 IP 머리부를 제외한 
자료묶음모두를 단순하게 암호화한다(그림 5-5 를 보시오). 다시 적이 암호화된 TCP 토막을 
위하여 어떤 임의의 비트패런을 치환하였다면 결과평문은 의미 있는 머리부를 포함하지 않 
을것이다. 이 경우에 머리부는(머리부를 덮는) 검사합뿐아니라 렬번호와 갈은 다른 유용한 
정보들도 포함한다. 주어 진 련결우에서 련속적인 TCP 토막들이 차례로 렬거되므로 암호화 
는 적이 임의의 토막을 지연，순서빠짐 또는 삭제를 하지 못한다는것을 담보한다. 

공개열쇠암호 

공개열쇠암호의 간단한 리 용(그림 8-1 의 L ) 은 기 밀성 은 담보하나 인증은 그렇 지 못 
하다. 원천지 (시는 목적 지 (리의 공개열쇠 KU b 를 리 용하여 M 을 암호화한다. 오직 묘만 
이 대응하는 비밀열쇠 KR b 를 가지고 있으므로 B 만이 통보문을 복호화할수 있다. 이 방 
식은 인증을 제 공하지 못한다. 왜 냐하면 임의 의 적은 역 시 B 의 공개열쇠 를 리 용하여 A 
이 라는것 을 주장하는 통보문을 암호화하기 때 문이 다. 

인증을 담보하기 위하여 A 는 자기 의 비밀 열쇠 를 리 용하여 통보문을 암호화하고 B 는 
A 의 공개열쇠를 리용하여 복호화한다(그림 8-1 의 r ). 이것은 전통암호의 경우처럼 같 
은 류형 의 추리 를 리용하여 인증을 담보한다. 그러 므로 통보문 A 로부터 와야 한다. 왜 
냐하면 A 는 ᄑ 3 를 소유한 유일 한 부분이 므로 뜨1九로 복호화될 수 있는 암호문을 구성하 
는데 필요한 정보를 가진 유일한 부분이다. 다시 앞에서와 같은 추리를 적용한다. 따라 
서 평문에 대 한 어 떤 내 부구조가 있어서 수신자는 타당한 평문과 우연비 트를 식 별 할수 
있어 야 한다. 

이런 구조가 있다고 가정하면 그림 8-1 의 도의 방식은 인증을 담보한다. 이것은 또 
한 수자서명으로서 알려 진것이 무엇인가를 보여 준다(이것은 보게 되는바와 같이 수자 
서명을 구성하는 방식은 아니지만 원리는 갈다). 

오직 A 만이 암호문을 구성할수 있 다. 왜 냐하면 A 만이 또比를 소유하기 때 문이 다. B 
가 아니 라고 하여 도 수신자는 암호문을 구성하였을것 이 다. 그러 므로 B 가 암호문을 소유 
하면 B 는 통보문이 A 로부터 온다는것 을 증명하는 수단을 가진다. 사실 A 는 자기 의 비 
밀열쇠를 리용하여 암호화함으로써 《서명》하였다. 

이 방식은 기밀성 을 제공하지 못한다는것 을 강조한다. A 의 공개열쇠 를 가진 임의의 
사람은 암호문을 복호화할수 있다. 

기밀성 과 인증을 둘 다 제 공하기 위하여 A 는 우선 수자서 명 을 제 공하는 자기 의 비 
밀 열쇠 를 리용하여 M 을 암호화하고 그다음에 는 기 밀성 을 제 공하는 묘의 공개열쇠 를 리 
용하여 M 을 암호화할수 있다(그림 8-1 의 n ). 이 방식의 불합리점 은 복잡한 공개열쇠알 
고리 듬을 매 통신마다 2번 이 아니 라 4번 진행해 야 한다는것 이 다. 

표 8-1 은 통보문암호화에 대한 이런 여러가지 방식들의 기밀성과 인증관계를 개괄 
한다. 
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MAC 와 차이날것 이 다. 공격 자는 비 밀 열쇠 를 모른다고 가정 하므로 통보문에서 
변경 에 대 응하는 MAC 를 변경할수 없다. 

2. 수신자는 통보문이 주장된 송신자로부터 온다는것을 담보 받는다. 송수신자들 
을 제외한 누구도 비밀열쇠를 모르므로 송수신자들을 제외한 누구도 고유한 
MAC 를 가진 통보문을 준비할수 없 다. 

3. 통보문이 렬번호 ( HDLC , X . 25와 TCP 로 리용된것과 같은것)를 포함하면 공격 
자가 련속적으로 렬번호를 변경시킬수 없으므로 수신자는 고유한 렬임을 담보 
받을수 있다. 

MAC 함수는 암호화와 류사하다. 한가지 차이는 MAC 알고리듬은 가역불가능일것을 
요구한다. 왜 냐하면 복호화때 문이 다. 인증함수의 수학적 성질로부터 이것은 암호화보다 
더 적게 파괴될수 있다. 


원천지 니 ᅯ 목적지 



l ) 통보문인증과 기밀성 : 평문에 대한 인증 



그림 8-4. 통보문인증부호 ( MAC ) 의 기본리용 


바로 묘사된 처리는 인증은 제공하나 기밀성은 제공하지못한다. 왜냐하면 전체로서 
의 통보문은 명백 히 전송되기때 문이 다. MAC 알고리듬을 실시한 다음에 (그림 8-4 의 L ) 
또는 전에(그림 8-4 의 n ) 통보문암호화를 진행 함으로써 기밀성 을 담보할수 있다. 이 두 
가지 경우 다 2개의 개 별적열쇠들이 요구되며 매 열쇠들은 송수신자들에 의하여 공유된 


233 




다. 첫번째 경우에 MAC 는 통보문을 입력으로서 계산하며 그다음에는 통보문에 련접시 
킨다. 이때 완전한 블로크가 암호화된다. 두번째 경우에는 우선 통보문을 암호화한다. 
그다음에 결과암호문을 리용하여 MAC 를 계 산하며 전송된 블로크를 형 성하는 암호문에 
련접 시킨다. 전형 적 으로 인증을 직 접 평 문에 련관시 키 여 그림 8-4 의 도의 방법 을 리 용하 
는것이 적합할수 있 다. 

전통암호는 인증을 제공하며 쉽게 만들어 널리 리용할수 있는데 개별적통보문인증부 
호대 신에 이것을 왜 단순하게 리용하지 못하는가? [ DAVI 89] 는 통보문인증부호를 리용 
하는 다음과 같은 3개 방안을 제 기하였 다. 

1. 일련의 목적지들에 같은 통보문을 광고하는 일련의 적용들이 있다. 실례로 망 
을 이제는 리용할수 없음을 사용자들에게 통보하는것 또는 군사조종센터에서의 
경보신호를 통보하는것 이 다. 인증을 조종하기 위하여 응답가능한 오직 하나의 
목적지 만을 가지는것은 더 경제적 이 고 더 신뢰적 이 다. 이 리하여 통보문은 대 응 
된 통보문인증부호를 가지는 평문안에서 공개되여야 한다. 응답체계는 비밀열 
쇠 를 가지 며 인증을 진행한다. 위 반되 였 다면 다른 목적 체 계 들을 일 반적 인 경 보 
로 변경한다. 

2. 다른 하나의 가능한 씨 나리오는 한쪽에 무거운 부담을 주어 들어 온 모든 통보 
문을 복호화하는 시 간을 줄수 없게 하는 교환이다. 인증은 선택 적 인 토대 와 검 
열을 위 해 우연적 으로 선택된 통보문들에 대 하여 진행한다. 

3. 평문으로서 콤퓨터 프로그람의 인증은 아주 좋은 봉사이다. 매 번 콤퓨터 프로그 
탐을 복호화함이 없이는 그것을 실행할수 없는데 이것은 처리기자원의 랑비가 
많다. 그러 나 통보문인증부호가 프로그람에 첨 부되 였 다면 프로그람의 완정 성 을 
담보하는 요구가 제기될 때마다 검사할수 있다. 

다음과 갈은 3개의 다른 관련식들을 첨부한다. 

4. 어떤 적용에 대하여 통보문을 비밀로 간수하지는 않지만 통보문을 인증하는것 
이 중요하다. 그러한 실례 는 단순망관리 규약판 3( SNMPv 3) 인데 이것은 기밀 
성 과 인증에 관한 함수들을 분리한다. 이 적 용에 대 하여 들어 온 SNMP 통보문 
이 관리체계에서 파라메터를 변경시키는 지령을 포함한다면 관리체계가 특별히 
들어 온 SNMP 통보문을 인증하는것 이 항상 중요하다. 다른 한편 SNMP 통신량 
을 제 기 하는것 은 필 요하지 않을것 이 다. 

5. 인증함수와 기밀성함수의 분리 는 기 능적유연성 을 준다. 실례 로 그것은 응용수 
준에 서 인증을 진행하지 만 통신량층과 갈은 낮은 수준에 서 기 밀성 을 제 공하는 
것이 요구될수 있다. 

6. 인증자는 접수시 간을 넘어서 보호주기를 늘이며 여전히 통보문내 용의 소유를 
허용할수도 있다. 통보문암호화에 대 하여 통보문을 복호화할 때 보호가 파괴되 
므로 통보문은 오직 림시적으로만 부정적인 변경에 보호될뿐 목표체계에서는 
그렇지 못하다. 

마지막으로 MAC 는 송수신자들만이 같은 열쇠를 공유하므로 수자서명을 담보하지 
못한다는것을 강조한다. 

표 8-2 는 그림 8-4 에서 보여 준 방식의 기밀성함수와 인증함수를 개괄한다. 
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하쉬함수 

통보문인증부호에 대 한 변종의 하나는 한방향하쉬함수이다 . 통보문인증부호에서처 
럼 하쉬함수는 가변크기통보문 M 을 입 력 으로 접 수하여 출구로서 고정크기하쉬부호 
H ( M ) 을 생성해 내는데 때때 로 이것을 통보문요약정보라고 한다. 하쉬부호는 통보문비 
트 모두에 관한 함수로서 오유검출능력 을 제공한다. 즉 통보문에서 비트 또는 여 러비트 
에 대한 변경은 하쉬부호에 대한 변경으로 나타난다. 

표 8-2. 통보문인증부호 C 의 기본리용 
ᄀ) A — B : M II C k ( M ) 

• 인증을 제공한다. 

_ -오직 A 와 B 만이 K 를 공유한다. 

l ) A ^ B ： E K2 [ M || C Ki _ 

• 인증을 제공한다. 

-오직 A 와 B 만이 民를 공유한다. 

•기밀성을 제공한다. 

_ -오직 A 와 B 만이 K 2 을 공유한다. 

c ) A — B : E K2 [ M ] || C Kl ( E K2 _ 

• 인증을 제공한다. 

-&를 리용하여 

• 기밀성을 제공한다. 

_ _ K 2 을 리용하여 _ 


그림 8-5 는 다음과 같이 하쉬부호를 통보문인증을 담보하는데 리용할수 있는 방법의 
변종들을 보여 준다. 

1) 통보문 + 련접된 하쉬부호는 전통암호를 리용하여 암호화된다. 이것은 그림 8-2 
의 1에서 보여 준 내부오유조종전략들에 대한 구조와 동일하다. 갈은 추리선이 
적용된다. 즉 A 와 B 만이 비밀열쇠를 공유하므로 통보문은 A 로부터 와야 하며 
변경되지 않는다. 하쉬부호는 인증을 얻는데 요구된 구조 또는 과잉성을 제공한 
다. 암호화를 완전한 통보문 + 하쉬부호에 적용하므로 역시 기밀성을 담보한다. 

L ) 전통암호를 리용하여 오직 하쉬부호만을 암호화한다. 이것은 기밀성을 요구하지 
않는 이 런 응용들에 대 한 처 리부담을 줄인다. 하쉬 와 암호화의 결 합名 r 사실상 
MAC 인 전체적인 함수로 나타난다(그림 8-4 의 1) . 즉 E K [ H ( M )] 은 가변길이통 
보문 M 4 비밀열쇠 K 에 관한 함수이므로 비밀열쇠를 모르는 적에 대해서는 안 
전한 고정길이출력을 생성해 낸다. 

n ) 공개열쇠암호와 송신자의 비 밀열쇠 를 리용하여 오직 하쉬 부호만을 암호화한다. 
항목 u 에서처 럼 이것은 인증을 제 공한다. 또한 송신자만이 암호화된 하쉬부호 
를 생성해 낼수 있으므로 수자담보를 제공한다. 사실 이것은 수자서명기술의 
본질이다. 

H ) 수자서 명 은 물론 기밀성 을 요구한다면 통보문 + 공개열쇠 로 암호화된 하쉬부호는 
전통적인 비밀열쇠를 리용하여 암호화될수 있다. 
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하쉬값을 재계산하여 검증할수 있다. 비밀값자체는 보내지 않으므로 적은 가로챈 
통보문을 변경할수 없으며 거짓통보문을 생성할수 없다. 

H ) 완전한 통보문 + 하쉬부호를 암호화함으로써 기 밀성 을 항목 n 의 방식 에 첨 가할 
수 있 다. 

기 밀성 을 요구하지 않을 때 방법 항목 L 과 C 은 보다 적 은 계 산을 요구하는 완전한 
통보문을 암호화하는데서 는 우점 이 있다. 그럼 에 도 불구하고 암호화를 피 하는 기 술에 대 
한 관심이 더 높아 지고 있다(그림 8-5 의 n ). 이에 대한 몇가지 리유를 [ TSUD 9 幻에서 
는 다음과 같이 강조하였다. 

• 암호화쏘프트웨어 는 속도가 매 우 뜨다. 통보문당 암호화될 자료량이 적 다 할지 라 
도 체계의 안팎에서 확고한 통보문의 흐름이 있을수 있다. 

• 암호화하드웨 어비 용이 무시 될 수 없 다. DES 의 비 용이 적 게 드는 소편실현이 가능 
하지만 망의 모든 말단들이 이 능력을 가져야 한다면 비용이 증가한다. 

• 암호화하드웨 어는 커 다란 자료크기에 대하여 최 량화된다. 작은 자료블로크에 대하 
여 높은 시 간몫은 초기화/법률화 ( invocation ) 토서 보내 여 진다. 

• 암호화알고리 듬은 특권으로써 숨기 여 질수 있다. 공개열쇠알고리 듬과 같은 일부 
암호화알고리듬은 특허를 받아 비용을 증가시켜 승인을 받아야 한다. 

• 암호화알고리 듬은 미 국수출조종위 원회 의 주요대 상이 다. 

표 8-3 은 그림 8-5 에서 보여 준 방식의 기밀성과 인증따름을 개괄한다. 


8.3 통보문인증부호 

암호학적검사합으로 알려 진 mac 는 


MAC = C k ( M ) 


표 8-3. _하쉬함수 묘의 기본리용 


n ) A ^ B ： E k [M II H ( M )] 

• 기밀성을 제공한다. 

- A 와 B 만이 K 를 공유한다. 

• 인증을 제공한다. 

- H ( M ) 은 암호학적으로 보호된다. 

ᄅ) A 구 B : EkCMIIE ^ [ H ( M )] 

• 인증과 수자서명을 제공한다. 

• 기밀성을 제공한다. 

-쇼와 B 만이 K 를 공유한다. 

니 A ^ B ： Mil EkCH ( M )] 

• 인증을 제공한다. 

- H ( M ) 은 암호학적으로 보호된다. 

接) A — B : M || H ( M || S ) 

• 인증을 제공한다. 

-쇼와 B 만이 S 를 공유한다. 

c ) A — B : M || [ H ( M )] 

• 인증과 수자서명을 제공한다. 
- H ( M ) 은 암호학적으로 보호된다. 
- A 만이 EKR a [ H ( M )] 을 창조할 
수 있다. 

H ) A 구 B : E k [M II H ( M ) IPj ^： ■一 

• 인증을 제공한다. 

-쇼와 B 만이 S 를 공유한다. 

• 기밀성을 제공한다. 

-쇼와 B 만이 K 를 공유한다. 
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형태의 함수 C 에 의해 생성된다. 여기서 보은 가변길이통보문이며 K 는 오직 송수신자만 
이 공유한 비밀열쇠， C K ( M ) 은 고정길 이 인증자이다. MAC 는 통보문이 정 확하다는것을 
가정하거나 알고 있을 어떤 시각에 원천지에서 통보문에 첨부된다. 수신자는 MAC 를 
재계산함으로써 이 통보문을 인증한다. 

이 절에서는 함수 C 에 대한 요구를 개괄한 다음에 특수한 실례를 준다. 다른 하나 
의 실례 는 계9장에서 론의한다. 

MAC 에 대한 요구 

대칭 또는 비대칭암호를 리용하여 기밀성을 위해 완전한 통보문을 암호화할 때 이 
방식의 보안은 열쇠의 비트길이에 관계된다. 알고리듬의 일부 약점을 제외하고는 적은 
가능한 모든 열쇠를 리용하여 힘내기공격에 의거해야 한다. 평균적으로 이런 공격은 卜 
bit 열쇠에 대하여 2 U_1) 번의 시도를 요구할것이다. 특히 암호문전용공격에 대하여 암호 
문 C 를 가진 적은 모든 가능한 열쇠값 氏에 대하여 P 구 D Ki (必를 진행하되 P , ■가 접수가 
능한 평 문의 형 태를 정 합하는것을 생성할 때까지 한다. 

MAC 의 경 우에 이 런 고찰은 완전히 다르다. 일 반적 으로 MAC 함수는 다값함수이다. 
함수의 정의역은 어떤 임의의 길이의 통보문으로 이루어 지지만 값구역은 가능한 모든 
MAC 와 가능한 모든 열쇠로 이루어 진다. n bit MAC 를 리용하면 2 n 개의 가능한 MAC 
가 있지 만 N » 2”인 자개 의 가능한 통보문이 있 다. 더 나아가서 k bit 열 쇠 에 대 하여 
乂개의 가능한 열쇠 가 있다. 

폭력방법 을 리 용한다면 적 은 열쇠 를 발견하기 위해 어 떻게 시 도할것 인가? 기밀성 을 
채용하지 않는다면 적은 평문통보문과 그에 대응된 MAC 를 참조한다. k > n 이 라고 가정 
하자. 즉 열쇠크기가 MAC 크기보다 크다고 가정하자. 이때 IS /나와 시요어를 알고 있으면 
MAQiCj ^ ( M 0 에 대 하여 암호분석 자는 가능한 모든 열쇠 값 氏에 대 하여 MAC ,= 
진행할수 있다. MAQiMACi 가 정 합(대조)되는것을 생성해 내는 적 어도 하 
나의 열쇠가 있다. 총 '개의 MAC 가 생성되지만 오직 2"< 才개의 서로 다른 MAC 값들 
만이 있다. 이리하여 일련의 열쇠들은 정확한 MAC 를 생성해 내며 적은 정확한 열쇠를 
아는 방법 을 가지지 못한다. 평 균적 으로 총 2"2” = 2 a _ n) 개의 열쇠 가 정 합을 생성한다. 
이 리하여 적 은 다음과 갈은 공격 을 반복해 야 한다. 

• 1회전 

o Mi ， MAQiC ^ Mi ) 가 주어 졌다. 

o MAC ,= C Ki (보규를 2 k 개의 열쇠 모두에 대 하여 계산한다. 

o 정 합된 수 « 2( 내 

• 2회전 

o M 2 , MAC 2 = C k ( M 2 ) 이 주어 졌다. 

o MAC ,_= C Kf ( M 2 ) 을 나머지 2 a _ n) 개의 열쇠에 대하여 계산한다. 

讀 정합된 수 « 2아 2 네 

평균적으로 it = a x «이면 a 번의 회전이 요구될것 이 다. 실례로 80 bit 열쇠를 리용하 
여 MAC 가 32 bit 이 면 1회 전은 대 략 2 48 개의 가능한 열쇠들을 생성해 낼것 이 다. 2회전은 
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가능한 열쇠를 대 략 2 16 개의 가능성 으로 좁힐것 이 다. 3회 전은 송신자에 의해 리 용된 대 
상이 여 야 하는 오직 하나의 열쇠 만을 생성해 낼것 이 다. 

열쇠길이가 MAC 길이를 넘지 않는다면 1회전은 유일한 정합을 생성해 내는것이 적 
합하다. 한개 이 상의 열쇠 들이 이 런 정 합을 생 성하는것 이 가능한데 적 의 경 우에 는 새 로운 
쌍(통보문， MAC ) 우에서 갈은 검사를 진행할것을 요구한다. 

이 리하여 인증열쇠 를 발견하려 는 폭력 시 도는 효과가 없는것 이 아니 며 따라서 같은 
길이의 복호화열쇠를 발견하는데 요구되는것보다 더 효과적일수 있다. 그러나 열쇠의 발 
견을 요구하지 않는 다른 공격 이 가능하다. 

다음과 갈은 MAC 알고리듬을 고찰하자. 보=法 1 ||지|| … l | X m ) 을 64 bit 블로크들 
의 련접 으로 취 급하는 통보문이라고 하자. 이 때 

A(M)=Xi©X 2 © … ©X m 
C k (M)=E k [A(M)] 


을 정의한다. 여기서 ©는 배타적론리합 ( XOR ) 연산이며 암호화알고리듬은 전자적인 부 
호책 방식의 DES 이 다. 이 리 하여 열쇠 길 이는 56 bit 이며 MAC 길 이는 64 bit 이 다. 적 이 
{ M || C K ( MM 을 관찰하면 K 를 결정 하기 위한 폭력시 도는 적 어도 2 56 번의 암호화를 요 
구할것이다. 그러나 적은 지부터 X 띠까지를 임의의 요구된 값 '로부터 Y 띠까지로 
교체 하고 을 Y m 으로 교체 함으로써 체 계를 공격할수 있다. 여 기서 Y „> 은 다음과 같 
이 계산된다. 


Y m =Yi©Y 2 © … ©Y m _i©A(M) 

적은 이제는》로부터 과 수신자에 의 해 인증된것 으로 접수될 통보문을 형성하는 
원래의 MAC 로 구성되는 새로운 통보문을 련접할수 있다. 이 교묘한 수법에 대하여 길 
이 64 x(m — l ) bit 인 임의의 통보문을 부정적 으로 삽입 할수 있다. 

이 리하여 MAC 함수의 보안을 평 가하는데서 우리 에게는 그에 도전할수 있는 공격류 
형을 고찰하는것이 필요하다. 적이 MAC 함수는 알지만 K 를 모른다고 가정하자. 이때 
MAC 함수는 다음과 같은 성 질들을 가질 것 이다. 

1. 적 이 M 과 C K ( M ) 을 관찰한다면 적 이 C K ( M ')= C K ( M ) 인 통보문 M ' 를 구성 
하는것은 계산량적으로 불가능하다. 

2. C K ( M ) 은 우연적 으로 선택된 통보문 M ' 와 보에 대 하여 C K ( M ')= C K ( M ) 일 
확률은 2 _ ”이라는 관점에서 평등하게 분포될것이다. 여기서 고은 MAC 에서의 
비 트수이 다. 

3. M ' 가 보우에 서 어 떤 알려 진 변환과 같다고 하자. 즉 M '= f ( M ) 이 다. 실 례 
로 f 는 하나이상의 특수한 비트를 전환할수도 있다. 그 경우에 

Pr [ C K ( M )= C K ( M ，)]=2' 

첫 요구는 적이 비록 열쇠를 모르며 배우려고 하지 않는다고 할지라도 적이 주어 진 
MAC 를 정 합하는 새 로운 통보문을 구성할수 있는 앞의 실례 를 의 미하는것 이 다. 요구 ② 
는 선택 평 균에 기 초한 힘 내 기 공격 을 좌절시 킬 필요성 을 취 급한다. 즉 적 은 K 를 모르지 
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만 MAC 함수를 참조하며 MAC 생 성 을 위한 통보문을 표현할수 있 다면 적 은 주어 진 
MAC 를 정 합하는 대상을 발견할 때까지 여 러가지 통보문을 시도할것 이 다. 함수가 평등 
분포한다면 폭력방법 은 주어 진 MAC 와 정 합되 는 통보문을 발견하기 전에 는 평 균적 으로 
2 ( "_ 1〉 번의 시도를 요구할것이다. 

최 종요구는 인증알고리 듬이 일정한 부분 또는 다른것 이 아니 라 통보문의 비 트들에 
관하여 약하지 않을것 을 지 시한다. 그렇 지 않다면 M 과 C K ( M ) 을 가진 적 은 낡은 MAC 
를 정 합한 새 로운 통보문을 보다 빨리 생성해 낼 가능성을 가진 알려 진 《 약점》으로 
보에 대한 변종을 시도할수 있을것이다. 

DES 에 기초한 틍보문인증부호 

일명 자료인증알고리듬이 라고 하는 가장 널리 리용되는 MAC 들중의 하나는 DES 에 
기초한것 이 다. 이 알고리듬은 FIPS 발표 (FIPS PUB 113) 와 ANSI 표준 ( X 9. 17) 이 다. 

령 초기 화백 토르를 가지 는 DES 연산의 암호문블로크련쇄 ( CBC ) 를 리 용함으로써 이 
알고리듬을 정의할수 있다. 인증될 자료(즉 통보문，레부호，파일 또는 프로그람)를 린 
접한 64 bit 블로크 Di , D 2 ， …， EW 으로 분류한다. 필요하다면 최 종블로크를 완전한 
64 bit 블로크를 형성하는 령 으로 오른쪽을 메 꾼다. DES 암호화알고리 듬 묘와 비밀 열쇠 K 
를 리용하면 자료인증부호 ( DAC ) 를 다음과 같이 계산한다(그림 8-6). 


Oi=E K (Di) 

◦2 늬 Ek(D 2 © Oi) 
◦ 3 = e k ( d 3 田 o 2 ) 


On = E k ( D n 田 On-i) 


회수 =1 회수 =2 


회수 = N -1 회수 =N 
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그림 8-6. 자료인증알고리듬 (FIPS PUB 113) 

















DAC 는 완전한 블로크 O n 또는 16 < M < 64인 블로크의 제 일 왼쪽 M bit 로 이루 
어 진다. 

이 알고리듬은 앞에서 묘사한 요구들을 만족시킨다. 


8.4 하쉬함수 


하쉬 값은 


h = U ( M ) 

형태의 함수 난에 의해 생성된다. 여기서 사은 가변길이통보문이고 H ( M ) 은 고정길이하 
쉬값이 다. 통보문이 정 확하다는것 을 가정 하거 나 알 때 원천지에 서 하쉬 값을 통보문에 첨 
가한다. 수신자는 하쉬값을 재 계 산하는것 으로써 그 통보문을 인증한다. 하쉬함수자체 는 
안전하다고 고찰하지 않으므로 하쉬값을 보호하기 위 해서 는 어 떤 수단이 요구된다(그림 
8-5). 

통보문인증에 쓰이는 하쉬함수에 대한 요구를 설명하는것부터 시작한다. 하쉬함수는 
전형 적 으로 아주 복잡하므로 포함된 론의 되 는 문제 점 들을 얻 기 위하여 아주 단순한 하쉬 
함수를 설 명하는것 이 유용하다. 그다음에 는 하쉬함수설 계 에 대 한 여 러 가지 방식 을 본다. 

하쉬함수에 대한 요구 

하쉬함수의 목적은 파일，통보문 또는 다른 블로크자료의 《지 문》을 생성해 내는것 
이다. 통보문인증에 쓸모 있게 하기 위하여서는 하쉬함수 H 가 다음의 성질들을 가져야 
한다 [ NECH 9 幻. 

1. H 를 임의의 크기의 자료블로크에 적용할수 있다. 

2. H 는 고정길이출력을 생성해 낸다. 

3. 하드웨 어 와 쏘프트웨 어실현이 둘 다 실천적이도록끔하여 임의의 주어 진 표 
에 대 하여 HOc ) 를 계 산하는것 이 상대 적 으로 쉽다. 

4. 임의의 주어 진 부호 가에 대하여 H 0 c )= ft 인 义를 구하는것은 계산량적으로 
불가능하다. 이것을 때때 로 학문적 으로는 한방향성 이라고 한다. 

5. 임의의 주어 진 블로크 ; c 에 대 하여 H ( y )= H 0 c ) 인 y 는; c 를 구하는것은 계산 
량적 으로 불가능하다. 이것을 때때 로 약충돌방지라고 한다. 

6. H ( x )= H ()；) 인 임의의 쌍 Uy ) 를 구하는것은 계산량적으로 불가능하다. 이 
것 을 때때 로 강충돌방지라고 한다(불행 하게 도 이 런 용어 들은 모순없 이 는 리 
용되 지 못한다. 학문적 으로 리 용된 다른 하나의 용어 들은 한방향성하쉬함수 
(성 질 4와 6)，충돌방지 하쉬함수(성 질 4, 5 및 6)，약한방향하쉬함수 (성 질 4 
와 5)，강한방향하쉬함수(성 질 4, 5 및 6) 이 다. 독자들은 쓰이 는 용어 의 의 
미 를 결정하는 학문을 읽 는데 각별한 주의 를 돌려야 한다) . 

첫 3개 성 질들은 통보문인증에 하쉬함수를 실 천적 으로 응용하기 위한 요구이 다. 

네번째 성 질은 한방향성 이다. 통보문이 주어 졌을 때 부호를 생성하는것은 쉽지만 
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부호가 주어 졌을 때 통보문을 생성하는것은 실제상 불가능하다. 인증기술이 비밀값을 
리용한다면 이 성질은 중요하다(그림 8-5 의 n ). 비밀값자체 를 보내지 는 않지 만 하쉬함 
수가 한방향이 아니 라면 공격자는 쉽게 비밀값을 발견할수 있다. 공격자가 전송을 관찰 
하거 나 가로챌수 있다면 공격 자는 통보문 사과 하쉬부호 C = H ( S AB || M ) 을 엄는다. 그다 
음에 공격 자는 하쉬함수를 거꾸로 전환하여 S AB || M = H _1 (必를 엄 는다. 이제 는 공격 자가 
사과 Sab II 사을 둘 다 가지 므로 Sab 를 발견하는것 은 아주 쉬 운 문제 이 다. 

다섯 번째 성 질은 같은 값을 주어 진 통보문으로 하쉬하는 다른 하나의 통보문을 구 
할수 없다는것 을 강조한다. 이것 은 암호화된 하쉬 부호를 리 용할 때 위 조를 방지한다(그 
림 8-5 의 l 과 n ). 이 경우에 대하여 적은 통보문을 읽으므로 자기의 하쉬부호를 생성 
할수 있다. 그러 나 적은 비밀열쇠 가 없으므로 검출없이는 통보문을 변경할수 없다. 이 
성질이 성립하지 않는다면 공격자는 다음과 갈은 렬을 만들어 낼수 있다. 우선 통보 
그의 암호화된 하쉬부호를 관찰하거 나 가로채 여 통보문으로부터 이 암호화된 하쉬부호를 
생 성하며 다음으로는 갈은 하쉬 부호를 가지 는 다른 하나의 통보문을 생 성한다. 

여섯번째 성질은 하쉬함수가 간단히 설명하는 생일공격콜라스에서 어떻게 방지되는 
가에 귀착된다. 

단순하쉬함수 

모든 하쉬함수들은 다음과 같은 일 반원 리 를 리 용하여 조작한다. 입 력 (통보문，파일 
등)을 n bit 블로크들의 렬로 고찰한다. 입 력은 어떤 시각에 n bit 하쉬함수를 반복적 인 
방식으로 하나의 블로크씩 처리해 나간다. 

가장 단순한 하쉬함수들중의 하나는 매 블로크의 비 트별 배 타적 론리 합 ( XOR ) 이 다. 
이것을 다음과 같이 표현할수 있다. 

C ,'= b a 田 b e © … 田 b, m 

여기서 

Q = 하쉬부호의 /번째 비트，1< / < « 
m = 입력에서 nbit 블로크의 수 
b , ；；=/•번째 블로크에서 /번째 비트 
e=XOR 연산 

그림 8-7 은 이 연산을 보여 준다. 즉 그것은 매 비트위 치 에 대 하여 단순한 기우성을 
생성해 내며 경도의 과잉성검사로 알려 져 있다. 이 것은 자료완정성검사로서 우연자료에 
대 하여 응당히 효과적 이 다. 매 nbit 하쉬 값은 등식 적 으로 적 합하다. 이 리하여 자료오유가 
변경되지 않은 하쉬값을 나타낼 확률은 2 _7 •이다. 보다 예언적으로 형식화된 자료에 대하 
여서는 이 함수가 효과성이 적다. 실례로 가장 표준적인 본문파일에서 매 옥레드 ( octet ) 
의 높은 위 치 비트는 항상 령이 다. 그래서 128 bit 하쉬값을 리용하면 2_ 128 이 라는 효과성대 
신에 이런 류형의 자료에 대한 하쉬함수의 효과성은 2 _112 이다. 

문제를 해결하는 단순한 방도는 매 블로크를 처 리 한 다음에 하쉬 값에 대 하여 한 비 
트순환밀기 또는 회전을 진행하는것 이 다. 이 절차를 다음과 같이 개괄할수 있다. 
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비트 1 비트 2 … 비트 n 


블로크 1 

bn 

b 2 i 


t》nl 

블로크 2 

bi2 

b22 


b n 2 






블로크 m 

b im 

^ 2 m 


b nm 

하쉬 부호 


c 2 


c n 


그림 8-7. 비 트별 XOR 를 리 용한 단순하쉬함수 


1. 초기 에 «bit 하쉬 값을 령 으로 설 정한다. 

2. 매 련속적 인 nbit 자료블로크를 다음과 같이 처 리한다. 

1) 현재하쉬 값을 왼쪽으로 한비 트 회 전시 킨다. 

l ) 블로크를 하쉬값과 배 타적론리합한다. 

이것은 입력을 더 완전하게 《우연화》하며 입력에 나타나는 임의의 규칙성을 극복하는 
효과를 가진다. 그림 8-8 은 16bit 하쉬값에 대한 이런 두가지 류형의 하쉬함수를 보여 준다. 

두번째 절차는 비록 자료완정성이 좋은 척도를 제공한다고 할지라도 그것은 그림 8- 
5 의 i_ 과 n 에서 보여 준바와 같이 암호화된 하쉬 부호를 평문통보문과 함께 리용할 때 
자료보안을 위하여 실제 적 으로는 리 용하지 못한다. 통보문이 주어 졌을 때 그 하쉬부호 
를 산생하는 새 로운 통보문을 생성해 내는것은 쉬운 문제 이 다. 단순히 요구되는 다른 하 
나의 통보문을 준비한 다음에 새 로운 통보문 + 요구되 는 하쉬 부호를 산생하는 블로크에 
집 중되 는 n bit 블로크를 첨 가한다. 

오직 하쉬값만이 암호화되였다면 비록 단순한 XOR 나 회전 XOR(RXOR) 이 불충분 
하다고 할지라도 아직 하쉬부호는 물론 통보문을 암호화할 때 이런 단순한 하쉬함수가 
유용하다는것을 느낄수 있을것이다(그림 8-5 의 1). 그러나 주의해야 한다. NBS (민족 
표준국) 에 의하여 최 초에 제 안된 기 술은 단순한 XOR 를 리 용하여 64bit 통보문블로크에 
적용하였으며 그다음에는 암호문블로크련쇄 (CB 必방식을 리용한 완전한 통보문의 암호 
화에 적 용하였 다. 이 방식 을 다음과 같이 정 의할수 있 다. 64bit 블로크렬 X 1； X 2 , …， 
X w 으로 이루어 진 통보문이 주어 졌을 때 블로크별 XOR 또는 모든 블로크로서 하쉬부 
호 C 를 정의 하고 하쉬부호를 최종블로크로서 첨부한다. 즉 

C=X w+ i=Xi 田 x 2 田 … 田 X N 

다음으로 암호화된 통보문 Yi, Y 2 , …， Y w+1 를 생성해 내 는 CBC 방식 을 리용하여 
완전한 통보문 + 하쉬부호를 암호화한다. [JUEN85] 는 이 통보문의 암호문을 하쉬부호에 
의 해서는 검출불가능한 방식 으로 처 리할수 있는 몇 가지 방식을 강조하였다. 실례로 
CBC 의 정 의(그림 3-12) 에 의하여 


Xi = IV ® D k (Y!) 
Xi^YM ® D K (Yi) 

X；v+i—Y n 田 Dk (Y^+i) 
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(IVeDKCY!))© (Yi© Dk(Y 2 ))® … ©(Yn-x® DkCY.v)) 


선행한 식의 항들은 임의의 순서 로 배 타적론리합을 할수 있으므로 암호문블 
:되였다면 하쉬부호를 변경시킬수 없다. 

생일공격 

64 bit 하쉬부호를 리용한다고 가정하자. 이것은 아주 안전하다고 생각할수 있 
































다면(그림 8-5 의 l 과 n ) 적 은 다른 통보문을 치 환하여 수신자를 속이는 H ( M ) = 
H ( M ') 인 M ' 를 구하는것 이 필요하다. 평 균적 으로 적 은 가로챈 통보문의 하쉬 부호와 
정 합되 는것 을 구하기 위하여 대 략 2 63 개 의 통보문을 시 도해 야 할것 이 다 (부록 8의 식 8-1 
을 보시 오) . 

그러 나 생 일모순에 기초하여 다른 종류의 공격 이 가능하다(부록 8). 유발 ( Yuval ) 
은 다음과 같은 전 략을 제 기하였 다 [ YUVA 79]. 

1. 원천지 A 는 적당한 m bit MAC 를 첨부하고 그 MAC 와 A 의 비밀열쇠를 암호화 
함으로써 통보문《서명》을 준비한다. 

2. 적 은 본질적 으로 같은 의미를 나르는 통보문모두에 대 한 2”^개의 변종을 생성한 
다. 적 은 실제 대 상을 위하여 치 환하는 부정 적 인 통보문에 대 한 변종인 통보문모 
두의 같은 수를 준비한다. 

3. 갈은 하쉬부호를 생성해 내는 통보문 쌍을 구하기 위하여 두 통보문모임 을 비 교 
한다. 생 일 모순에 의한 성 공확률은 0.5 보다 크다. 정 합되 지 않는다면 보충적 인 
타당한 통보문과 부정 적 인 통보문을 정 합할 때 까지 생 성한다. 

4. 적은 서명을 위하여 A 에 대 한 타당한 변종을 제공한다. 그다음에 이 서명을 지 
향된 수신자에게 전송할 부정적인 변종에 붙일수 있다. 두 변종이 갈은 하쉬부 
호를 가지므로 같은 서명을 생성해 낼것 이며 적은 암호화열쇠를 비 록 모른다고 
할지라도 성공을 담보한다. 

이 리하여 64 bit 하쉬 부호가 리 용되 면 요구된 효과수준은 오직 2 32 의 정 도이 다(부록 8 
과 식 8-7 을 보시오). 

같은 의미를 나르는 많은 변종의 생성은 힘들지 않다. 실례로 적은 문서전반에 걸쳐 
단어 들사이 의 일 련의 《 공백 -공백-역 행 ( space - space - backspace ) 》문자쌍들을 삽입 할수 
있 을것 이 다 . 그다음에 선택 된 실 체 로 《 공백 -역 행 -공백 ( space - backspace - space ) ) 을 
치 환함으로써 변종을 생 성 할수 있을것 이 다. 

또 다른 한가지 방식으로서 적은 통보문을 단순히 바꾸어 말하지만 의미를 귀환할수 
있을것이다. 그림 8-9 는 실례를 하나 보여 준다 [ DAVI 89]. 

이로부터 얻 어 진 결론은 하쉬부호의 길이가 본질적 이라는것 이 다. 이에 대해서는 
8. 5에서 더 론의할것이다. 

블로크련소 M 기술 

암호문블로크련쇄기 술을 리 용하지 만 비밀 열쇠 가 요구하지 않는 하쉬 함수를 제 기 하는 
일련의 시도들이 있 다. 이러한 첫 제기 중의 하나가 라빈 ( Rabin ) 의 문헌 [ RABI 78] 이다. 
통보문 M 을 고정 길이 블로크 Mi , M 2 , …， 으로 나누고 DES 와 같은 전통암호를 리 용 
하여 다음과 같이 하쉬부호 G 를 계산한다. 

H 0 = 초기값 
H ^ E ^. [ H rt ] 
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그림 8-9. 2 37 개 방안의 편지 [ DAVI 8 的 




이 것은 CBC 기술과 류사하지 만 이 경 우에 는 비밀열쇠 가 없다. 임의의 하쉬부호에서처 럼 
이 방식은 생 일공격에 대한 학문이며 그리고 암호화알고리듬이 DES 이고 오직 64 bit 하쉬 
부호만을 생성해 낸다면 체계는 견고하지 못하다. 

더 나아가서 생일공격의 다른 관은 적이 오직 하나의 통보문과 그의 타당한 서명만 
을 참조하며 다중서명을 얻을수 없는 경우에도 리용될수 있다. 씨나리오는 다음과 갈다. 
적이 암호화된 하쉬부호의 형태로 서명과 통보문을 가로채고 암호화되지 않은 하쉬부호 
는 mbit 이 라고 가정 한다. 

1. 이 항목의 시작에서 정의된 알고리듬을 리용하여 암호화되지 않은 하쉬부호 G 
를 계산한다. 

2. 임의의 요구된 통보문을 Qi , Q 2> …， Q w - 2 형 태 로 구성한다. 

3. l < i <(^ V -2 )i 대 하여 H ,= E Qi [대서를 계산한다. 

4. 2 m/2 개의 우연블로크를 생성하고 매 블로크 표에 대하여 ExCHam ] 을 계산한다. 
보충적 인 2 m/2 개의 블로크를 생성하고 매 블로크 구에 대하여 D Y [ G ] 를 계산한 
다. 여 기서 D 는 묘에 대 응하는 복호화함수이다. 

5. 생 일 모순에 기 초하여 높은 확률을 가진 £노[1切- 2 ] =0 ¥ [(그]인 표와 모가 있 을것 
이다. 

6. 통보문 Qi , Q 2 , …， Q n - 2 , X ， Y 를 형 성한다. 이 통보문은 하쉬 부호 G 를 가지 
므로 가로챈 암호화된 서명과 함께 리용될수 있다. 

이런 형태의 공격은《중간에서 만나다》로 알려 져 있다. 일련의 연구자들은 기본 
블로크련쇄방식을 강화하는데 지향된 세분을 제기하였다. 실례로 다비에즈 ( Davies ) 와 
프라이 스 ( Price ) [ DAVI 89] 는 다음과 같은 방안을 서 술하였 다. 

Hi=E M . [H,-J © H,-! 

[ MEYE 88] 에서 제기된 다른 하나의 변종은 다음과 같다. 

H ^ E Mi i [ M ,] ® M ; 


그러나 이 방식들長 둘 다 공격의 변종 [ MIYA 9 M 에 약하다는것을 보여 준다. 더 일 
반적 으로 어떤 형 태의 생 일공격 은 결과하쉬함수가 충분히 작거 나(즉 64 bit 이 하) 보다 큰 
하쉬함수를 독립 적 인 부분부호들로 분해할수 있다면 비 밀 열쇠없 이 암호문블로크련쇄 를 
리용하여 임의의 하쉬방식 에 대 하여 계속될수 있다는것을 보여 줄수 있다 [ JUEN 87]. 

이 리하여 하쉬하는 다른 방식 을 구하는데 주의 를 돌리 게 된 다. 이 런것 들의 대 부분은 
약점 을 가진다는것 을 보여 주었 다 [ MITC 92]. 9장에 서 보다 강한 몇 가지 하쉬함수들을 
설 명 한다. 
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8.5 하쉬함수와 MAC 의 보안 


공개열쇠암호와 전통암호에서처 럼 하쉬함수와 MAC 에 대 한 공격 을 2개 부류 즉 힘 
내기공격과 암호분석으로 분류할수 있다. 

힘내기공격 

힘 내 기공격의 본질은 하쉬함수와 MAC 와는 좀 차이난다. 

하쉬 함수 

힘내기공격에 대한 하쉬함수의 강도는 알고리듬에 의해 생성된 하쉬부호의 길이에만 
관계 된 다. 다음과 갈은 3개 의 가능한 성 질들이 있는 하쉬함수에 대 한 우리 의 론의 를 상 
기 하자. 


• 한방향: 임의의 주어 진 부호 H 대하여 HCc)=ft 인 义를 구하는것은 계산량적 
으로 불가능하다. 

• 약충돌방지: 임의의 주어 진 블로크 표에 대하여 H()；)=HOc) 인 y 유； c 를 구하는 
것은 불가능하다. 

• 강충돌방지 : HCc)=H(3；) 인 임의의 쌍 a，y) 를 구하는것은 계산량적 으로 불가능 
하다. 

길이 자인 부호에 대하여 본바와 같이 요구된 효과수준은 다음과 갈은것에 비례한다. 


한방향 

2" 

약충돌방지 

2" 

강충돌방지 

2 nrz 


강충돌방지를 요구한다면 (그리고 이것이 일반목적을 위해 안전한 하쉬부호로 가능 
하다면) 값 2 n/2 은 힘내기공격에 대한 하쉬부호의 강도를 결정한다. 우소트 (Oorshot) 와 
와이 너 (Wiener) 의 문헌 [OORS94] 는 MD5 에 대 한 1천만$짜리 충돌람색기 계의 설계 를 
제기하였는데 이것은 128bit 하쉬길이를 가지며 24일간후에야 충돌을 구할수 있었을것이 
다. 이리하여 128bit 부호를 불충분한것으로 평가할수 있다. 다음단계에서는 하쉬부호를 
32bit 렬로 취급하면 160bit 하쉬길이이 다. 160bit 의 하쉬길이에 대 하여 동일한 탐색기계는 
충돌을 구하는데 4천년이상을 요구하게 된다. 현재 9장에서 론의되는 두개의 가장 극적 
인 하쉬 부호 SHA-1 과 RIPEMD-160 은 160bit 하쉬 부호길이 이 다. 

통보문인중부호 

MAC 에 대한 힘내기공격은 알려 진 통보문一 MAC 쌍을 요구하므로 더 함든 보증이 
다. 이것 이 왜 그런가를 보자. 하쉬부호를 공격 하기 위하여 다음과 같은 방식 으로 처 리 
할수 있다. 고정된 통보문 义와 «bit 하쉬부호 h=n(x)A 주어 졌을 때 충돌을 구하는 폭 
력방법은 우연비트렬 y 를 포착하여 H(y)=H0c) 를 검사하는것 이 다. 공격 자는 이것을 반 
복적으로 그리고 비직결식으로 할수 있다. 비직결공격을 MAC 알고리듬에 리용할수 있는 
가 없는가는 열쇠의 상대적크기와 MAC 에 관계된다. 

처 리를 하기 위하여 다음과 같이 표현할수 있는 MAC 알고리듬의 요구된 보안을 규 
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정하는것이 필요하다. 


• 계산방지: 하나이상의 본문- MAC 쌍 Oc ^ CkU )) 들이 주어 졌을 때 임의의 새로운 
입력 x 는; q 에 대하여 임의의 본문一 MAC 쌍 Oc，C K Cc)) 을 계산하는것은 계산량적 
으로 불가능하다. 

다른 말로 하면 공격 자는 주어 진 통보문 x 에 대 하여 타당한 MAC 부호에 로 도달하 
였으면 한다. 가능한 공격의 2개의 선이 있다. 열쇠공간의 공격과 MAC 값의 공격 이 다. 
이 매개를 실제로 설명하자. 

공격 자가 MAC 열쇠를 결정할수 있으면 임의의 입 력 표에 대 하여 타당한 MAC 값을 
생 성하는것 이 가능하다. 열쇠 크기 가 比 it 이 고 공격 자는 하나의 알려 진 본문一 MAC 쌍을 
가지고 있다고 가정하자. 이때 공격자는 가능한 모든 열쇠에 대하여 알려 진 본문우에서 
nbit MAC 를 계산할수 있다. 적어도 하나의 열쇠가 정확한 MAC 즉 초기에 알려 진 본 
문- MAC 쌍을 생성해 내는데 리 용된 타당한 열쇠를 생성 해 낸다는것을 담보한다. 공격의 
이 단계는 斤에 비례하는 효과수준을 취한다(즉 2 k 개의 가능한 열쇠값의 매개에 대하여 
하나의 연산). 그러 나 앞에서 서술한바와 같이 MAC 는 다값넘기기이므로 정 확한 값을 
생성해 내는 다른 열쇠가 있을수도 있다. 이리하여 정확한 값을 생성해 내는 1개이상의 
열쇠를 발견하려면 보충적인 본문 _MAC 쌍을 검사해야 한다. 효과수준이 매 보충적인 
본문 一 MAC 쌍과 함께 급격히 떨어 지며 효과의 전체 수준은 거칠게 2 k 이라는것을 보여 
줄수 있다 [MENE97]. 

공격 자는 또한 열쇠 를 발견하기 위한 시 도없이 MAC 값우에서 동작할수 있 다. 여 기 
서 그 대상은 주어 진 MAC 값을 정 합하는 통보문을 구하거 나 주어 진 통보문에 대 한 타 
당한 MAC 값을 생 성하는것 이 다. 어 느 경 우에 나 효과수준은 하쉬 부호의 한방향 또는 약 
충돌방지 성 또는 2" 를 공격하는것 과 호환가능하다. MAC 의 경 우에 공격 은 그 이 상의 입 
력없이는 비직결적 으로 유도함수 없으며 공격 자는 선택된 본문- MAC 쌍 또는 열쇠 에 대 
한 지식을 요구할것이다. 

개괄적으로 말하면 MAC 알고리듬에 대한 힘내기공격의 효과수준을 min (方， 2") 으로 
표현할수 있다. 강도평 가는 대 칭암호화알고리 듬에 대 한것과 류사하다. 열쇠길 이 와 MAC 
길이는 min(A：, «) 신V인 관계를 만족시킬것을 요구하는것이 합리적일것이다. 여기서 N 은 
아마도 128bit 의 령역에 속한다. 

암호분석 

암호화알고리 듬에서처 럼 하쉬함수와 MAC 에 대 한 암호분석공격 은 전면탐색 이 아닌 
일정한 공격 을 진행하는 어 떤 알고리 듬의 성 질들을 개 척할것 을 요구한다. 암호분석 에 대 
한 하쉬 나 MAC 알고리 듬의 방지 를 측정하는 방법 은 힘 내 기 공격 에 요구된 효과와 그 강 
도를 비 교하는것 이 다. 즉 MAC 알고리 듬의 기 본하쉬 는 폭력효과이 상인 암호분석 적효과를 
요구할것 이 다. 

하쉬 함수 

최 근년간에 하쉬함수에 대 한 암호분석 적공격 을 개 발하는데 서 상당한 효과와 일정한 
성과들이 있다. 이것을 리해 하기 위 하여서는 그림 8-10 에서 보여 준 전형적 으로 안전한 
하쉬함수의 전면적 구조를 보는것 이 필요하다. 
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반복하쉬 함수라고 하는 이 런 구조를 머 클러 ( Merkle ) 의 문헌 [ MERK 8 的 가 제 안하였 
는데 이것은 9장에서 묘사하는 MD 5, SHA -1 그리고 RIPEMD -10 모두를 포괄하는 현재 
리용되 는 대 부분의 하쉬함수의 구조이 다. 하쉬함수는 입 력 통보문을 취 하여 그것 을 매 개 
가 MMt 인 L -1 개의 고정크기블로크로 분할한다. 필요하다면 최종블로크는 fcbit 를 채워 
넣는다. 최종블로크는 또한 하쉬함수에 대한 입력의 총 길이값을 포함한다. 길이의 포함 
은 적 에게 더 힘든 일감을 주게 한다. 적은 같은 값으로 하쉬하는 같은 길 이의 두 통보 
문을 구해야 하거나 그 길이값들과 함께 갈은 값에로 하쉬하는 서로 다른 길이의 두 통 
보문을 구해 야 한다. 


Y 0 


Yl-1 



IV =초기값 
CV = 련쇄 변수 
[=/ 번째 입력블로크 
f =압축알고리듬 



L = 입력블로크의 수 
n = 하쉬부호의 길이 
ft =입력블로크의 길이 


그림 8-10. 안전한 하쉬부호의 일반구조 


하쉬 알고리 듬은 두 입 력 (련쇄 변수라고 하는 선행 단계 로부터의 « bit 입 력과 b bit 블로 
크)을 취하여 « bit 출력을 생성해 내는 압축함수 꾼의 반복리용을 포함한다. 하쉬의 시작 
에서 련쇄변수는 알고리듬의 부분으로 묘사된 초기값을 가진다. 련쇄변수의 최종값은 하 
쉬값이다. 보통 이므로 항압축이다. 하쉬함수를 다음과 같이 개괄할수 있다. 

CV 0 = IV = 초기 « bit 값 
CV ^ fCCVrt . Y ,-!), l < i<L 
U ( M )= CY l 

여기서 하쉬함수에 대 한 입 력은 블로크 Y 0 , Yi , … 八너로 이루어 진 통보문 사이 다. 

이 반복적 인 구조의 동기 는 압축함수가 충돌방지이 면 결 과의 반복하쉬함수도 충돌방 
지 이 라는 머 클러 의 문헌 [ MERK 89] 와 맴 가드 ( Damgard ) 의 문헌 [ DAMG 89] 로부터 나온 
다(역含 반드시 참으로 되는것이 아니다). 그러므로 이 구조를 리용하여 임의의 길이의 
통보문을 조작하는 안전한 하쉬함수를 생성 해 낼수 있다. 안전한 하쉬 함수를 설계하는 
문제는 어떤 고정된 크기의 입 력을 조작하는 충돌방지압축함수를 설계 하는 문제 에 귀 착 
된 다. 

하쉬함수의 암호분석은 꾼의 내부구조에 집중되며 꾼의 하나의 실행 에 대 하여 충돌을 
생성해 내는 효과적인 기술을 구하려는 시도에 기초하고 있다. 일단 그렇게 되면 공격은 
IV 의 고정 된 값을 고려해 야 한다. 군에 대 한 공격 은 그 내 부구조를 밝히 는데 관계 된 다. 
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전형적으로 대칭블로크암호문에서처럼 f 는 처리의 회전들의 계렬로 이루어 지므로 공격 
은 회전에서 회전에로의 비트변경의 패턴을 분석한다. 

임의의 하쉬함수에 대하여 적어도 블로크크기 6와 갈은 길이의 통보문을 길이 «인 
하쉬부호에로 넘기기때문에 충돌이 존재해야 한다는것을 잊지 말자. 여기서 이다. 요 
구되 는것 은 충돌을 구하는것 을 계 산량적 으로 불가능하게 하는것 이 다. 

하쉬함수로 설치한 공격은 오히려 복잡하며 여기서는 우리의 범위를 벗어 난다. 흥 
미 있는 독자들은 문헌 [DOBB96a] 와 [BELL9 기 를 보시 오. 

통보문인중부호 

하쉬함수보다도 MAC 의 구조변경 이 더 많이 있으므로 MAC 의 암호분석 에 대 하여 
일반화하는것이 힘들다. 멀지 않아 이런 공격을 개발하는것이 완성될것이다. 특수한 
MAC 를 공격하는 유용한 최 초의 문헌은 [PREN96] 이 다. 
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문 제 

1. 표가 오유검출함수이면 내부 또는 외부의 리용(그림 8-2) 은 오유검출능력을 제공할것 
이다. 전송된 통보문의 임의의 비트가 변경되면 FCS 함수가 암호화함수의 아낙 또는 
바깥에서 진행되는가에 따라 이것은 수신된 FCS 와 계산된 FCS 의 불일치 (mismatch) 
로 반영될것 이 다. 어떤 부호들은 또한 오유교정능력을 제공한다. 함수의 속성 에 따 
라 한비트 또는 작은 비트수가 전송중에 (림시적으로)변경되면 오유교정부호는 충분 
한 과잉정 보를 가지 여 오유비 트 또는 비 트들을 결정 하고 그것 들을 교정한다. 분명 히 
오유교정부호는 암호화변수에 외 부적 으로 리 용될 때 오유교정능력 을 제 공할것 이 다. 
암호화함수에 내부적으로 리용된다면 그것은 역시 이 능력을 제공하겠는가? 
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2. 8.3 에 서 묘사된 자료인증알고리 듬을 령 초기 화벡토르를 가진 연산의 암호문블로크련 
쇄 ( CBC ) 방식을 리용하여 정의 할수 있다(그림 8-6). 갈은 결과를 암호문반결합방식 
을 리용하여 생성해 낼수 있다는것을 보여 주시오. 

3. 고속통신규약 XTP 는 두개의 16 bit 함수 XOR 와 RXOR 의 련접으로 정의된 32 bit 검사 
합함수를 리용한다. 여 기서 XOR 와 RXOR 는 8. 4에서 《 두개 의 단순하쉬함수》로 
정 의하였 으며 그림 8-8 로 보여 주었 다. 

1) 이 검사합이 홀수의 오유비 트에 의 해 생긴 오유모두를 검 출하겠는가? 설명 하시오. 
L ) 이 검 사합이 짝수의 오유비 트에 의해 생 긴 오유모두를 검 출하겠는가? 아니 라면 
검사합이 실패로 되는 오유패턴을 특징지으시오. 
n ) 인증을 위한 하쉬함수로서 이 함수를 리 용할 때 효과성 을 설명 하시 오. 

4. 1) 8. 4에 서 서 술한 다비 에즈와 프라이스하쉬 부호방식 을 고찰하여 DES 를 다음과 

같은 암호화알고리 듬으로 리 용한다고 가정 하자. 

H ,.= E Mi [뙤나]® H ,-! 

그리 고 DES 의 보충적 인 성 질(문제 3-10) 을 상기 하자. 즉 Y = DES K ( X ) 이 면 Y' 
= DES K ,( X ') 이다. 이 성질을 리용하여 블로크 M x , M 2 , …，으로 이루어 진 
통보문을 그의 하쉬부호를 변경함이 없이 어 떻게 변경할수 있는가를 보여 주시 오. 
l ) 류사한 공격 이 문헌 [ MEYE 88] 에 서 제 기 된 다음과 같은 방식 에 대 해 서 성 공적 
이라는것을 보여 주시오. 


Hi = E Hi l [MJ 田 Mi 

5. 하쉬함수를 리 용하여 DES 와 류사한 구조를 가진 블로크암호문을 구성하는것 이 가능 
하다. 하쉬함수는 한방향이며 블로크암호화는(복호화와) 가역이여야 하기때문에 그 
것이 가능한가? 

6. 이제 는 반대의 문제 를 고찰하자. 암호화알고리 듬을 리 용하여 한방향하쉬함수를 구성 
한다. 알려 진 열쇠를 가진 RSA 를 리용하는것을 고찰하자. 이때 블로크렬로 이루어 
진 통보문을 다음과 같이 처 리한다. 첫 번째 블로크를 암호화하고 그 결 과와 두번째 
블로크를 배타적론리합하여 이 과정을 반복한다. 다음의 문제를 풂으로써 이 방식은 
안전 하지 못하다는것 을 보여 주시 오. 두 블로크통보문 Bl , B 2 와 그의 하쉬함수 


RSAH ( Bl , B 2) = RSA (RSA ( B 1) 田 B 2) 
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이 주어 졌다. 임의의 블로크 어이 주어 졌을 때 RSAH ( C 1, C 2)= RSAH ( B 1， B 2) 
인 C 2 를 택하시오. 



부록 8. 생일공격의 수학적기초 


이 부록에서는 생 일공격의 수학적정 당성을 유도한다. 관련된 문제부터 시작하여 다 
음 이름《생일공격》이 유도된 문제를 본다. 

관련된 문제 

하쉬함수와 관련된 일반문제는 다음과 갈다. 하쉬함수가 주어 졌을 때 «개의 가능한 
입력과 하나의 특수값 HOc ) 에 대하여 H 를 소개의 우연입력에 적용하면 적어도 하나의 
입력 y 가 H ( y )= H 0 c ) 를 만족시킬 확률이 0.5 인 소의 값은 무엇이여야 하는가? 

하나의 : y 값에 대 하여 H ( y )= H (; c ) 일 확률은 바로 1/«이 다. 반대 로 H ( y ) 뉴 HOc ) 일 
확률은 [ l _( l / n )] 이 다. 소개 의 우연 y 값을 생 성하면 그들중 어 느것 도 정 합되 지 않을 확 
률은 바로 매 개 별적값들이 정 합되 지 않는 확률들의 적 이 거 나 [1 一 ( l / n )] 4 이 다. 이 리 하 
여 적어도 하나를 정합할 확률은 1-[1-(1/«)]*이다. 

이제는 이항정리를 다음과 같이 정식화할수 있다. 

a-a^l-ka^^^a 2 -^ ~ l)(k ~ 2) a 3 ... 

2! 3! 

아주 작은 a 값에 대 하여 이것은 (1 一 fa ?) 로 근사화할수 있다. 이 리하여 적 어도 하나를 정 
합할 확률은 1 — &一 (1/«)]이=1 一 [1 一 Ot /«)]=； t / n 으로 근사화한다. 0.5 의 확률에 대 하여 
k=n/2 ( >] 다. 

특히 mbit 하쉬부호에 대 하여 가능한 하쉬부호는 2 m 이 고 절반확률을 생성해 낼 소의 
값은 다음과 갈다. 

k= 2 (m_1) (8-1) 


생일모순 

생 일모순은 확률결과가 때때로 비직관적이 라는것을 보여 주는 초등확률론에서 자주 
제기된다. 이 문제를 다음과 같이 정식화할수 있다. 확률이 0.5 이상이고 A : 명집단에서 적 
어도 2명의 생일이 같은 it 의 최소값은 얼마인가? 2월 29일을 무시하고 매 생일이 항등적 
으로 적 당하다고 가정한다. 대 답하기 위하여 


P ( n ， Jt )= Pr [적어도 한명이 it 항목으로 중복되며 매 항목에서 1과 «사이의 «개의 항등적 
으로 적 당한 값들중의 하나를 취 함수 있다.] 

이 리하여 P (365, 섟브 0.5 일 최소의 A ： 값을 보자. 우선 Q (3 況，幻로 임명한 중복 없는 
확률을 유도하는것 은 아주 쉽다. 於365이 면 모든 값이 서 로 다르다는것 은 불가능하다. 
그래서 K 365 라고 가정한다. 이제는 중복 없는 소개 값을 가질수 있는 서 로 다른 방법의 
수 N 을 고찰하자. 첫째 로 365개 값중 임의의 하나를 택하고 둘째 로 나머지 364개 수중 
의 임의의 하나를 택하며 이 런 과정 을 반복한다. 따라서 서 로 다른 방법의 수는 
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iV =365 X 364 X 


( 8 - 2 ) 


x (365-jfc+l) = 


365! 

(365- k )! 


이다. 

중복이 없 다는 제 한을 제 거하면 매 번 365개 값중의 하나를 택하며 총 확률의 수는 
3況 H 다. 그래 서 중복 없는 확률은 단순히 다음과 갈은 값모임 모두의 밖에 서 중복이 없 
는 값모임 들의 분수이다. 


Q (365,^) = 


365!/(365-k)! 
一 (365 /一 


365! 

(365 - 쇼)! (365)* 


이고 


P (365 , it ) = 1 - Q (365 - it ) = 1- 


365! 

(365- k )!(365 y 


(8-3) 


이 함수를 그림 8-11 에서 보여 준다. 이미전에 이 문제를 고찰하지 않은 사람들에게 
는 이 확률이 놀랍게도 크게 보일것이다. 대부분의 사람들은 적어도 하나의 중복이 있는 
0.5 이상의 확률을 가지기 위해서는 그 집단의 사람수가 대략 100이여야 한다고 추측할것 
이다. 사실 그 수는 23이며 P (365, 23) =0.5073 이다. 소=100에 대하여 적어도 하나의 
중복이 있을 확률은 0.9999997 이 다. 

아마도 집단안의 특수한 사람을 고찰할 때 결과가 그렇게 놀랍게 보이는 원인은 그 
집단안의 어떤 다른 사람이 같은 생일을 가질 확률이 작은것이다. 그러나 관련된 확률은 

집단안의 임의의 사람쌍이 갈은 생일을 가질 확률이다. 23명의 집단에서는 23(23 ~ 1} - 

2 

253개의 서로 다른 사람쌍이 있다. 따라서 확률이 높다. 
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그림 8-11. 생일모순 

























유용한 부등식 

생일문제의 일반화를 개발하기전에 다음과 갈은 필요한 부등식을 유도한다. 모든 
x >0 에 대하여 


(1-x) < e _JC (8-4) 

그림 8-12 는 이 부등식 을 보여 준다. 부등식 이 성 립 함을 보기 위하여 아래 선 이 x=0 
에서 이에 대한 탕겐스임을 강조한다. 그 선의 경사도는 바로 x =0 에서 e ᄀ의 도함수이 
다. 즉 


fix) =e x , f ' (x) = — 예， f ' (0) =-l 

dx 

탕겐스는 ox +스형 태의 직선이며 a = - l 과 x =0 에서의 탕겐스는 e _0 = l 이 여야 한다. 
이 리하여 부등식 8-4 를 확신하는 함수 ( l -; c ) 가 탕겐스이 다. 더 나아가서 작은 ; c 에 대 하 
여 ( l _; c )« e _x 이라는것을 강조한다. 

중복이 있는 일반적경우 

생 일문제를 다음과 갈은 문제 로 일반화할수 있다. 1과 «사이의 평등분포하는 우연변 
수와 우연변수의 a ： 개 실체 a < «) 의 선택이 주어 졌을 때 적어도 하나의 중복이 있을 확 
률 Pin, 幻는 무엇인가? 생일문제는 바로 « = 365인 특수경우이다. 앞에서와 갈은 리유 
로 하여 식 8-3 의 다음과 같은 일반화를 엄는다. 


Pin, 


k)^l— 


n\ 

(n — k)\n k 


(8-5) 


다음과 같이 쓸수 있다. 


P(n,k)=l~ 


nx(n-l)x...x(n-k + l) 


■[(1 — )x(1 — )> 《 ..x(l - )1 


부등식 8-4 를 리용하면 


P(n,k) > l -[( e _1/M ) X (e 2/n ) X … X ( e _ (ᅡ 1 ) /n )] 
> i- e " c (1/n)+(2/n)+ "' +((i-1) /n) ] 

〉 l_ e 七 (H)/2n 
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그림 8-12. 유용한 부등식 


질문을 하나 제기하자. 오의 값이 Pin , 소)>0.5이도록 요구하는것은 무엇인가? 이 요구를 
만족시키기 위하여서는 


1Z2 i_e _ ( 灰〉〈 ( 소 - 1 ) ) , 2w 

2 = 


In (2) 


e (tx(t-l))/2n 

kx(k-l) 

2 n 


큰 it 에 대하여 — 1) 를 fc 2 으로 바꾸어 놓으면 

k = - J 2( ln 2 )n =1. 18 yfn ■ 


4n 


( 8 - 6 ) 


이것 을 확인하기 위 하여 n =365 일 때 오=1.18>< ^/^ =22.54로서 23이 라는 정 확한 
대 답에 아주 가깝다. 이제는 다음과 같은 용어 로 생 일공격의 기초를 규정할수 있다 . ， 
개 의 가능한 출력 (즉 mbit 출구)을 가지 는 함수 H 가 있다고 가정 하자. 묘를 개 의 우연 
입력에 적용하면 적어도 하나의 중복(즉 어떤 입력 지 게 대하여 HOc ) = H ( y )) 을 가질 
확률이 있을 오의 값은 무엇이여야 하는가? 식 8-6 의 근사식을 리용하면 

k = =2 m/2 (8-7) 
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두 모임사이의 접침 

우리의 론의에 관련되는것으로서 중복이 있는 일반적 인 경우에 관계되는 문제가 하 






나 있다. 이것은 다음과 갈은 문제이다. 1과 «사이의 평등분포하는 우연옹근변수와 이 
우연변수의 소개의 실체(匕«)들의 두 모임이 주어 졌을 때 두 모임이 비분리적일 확률 
R ( n , k ) 는 무엇인가 즉 두 모임에 속하는 적어도 하나의 값이 있을 확률은 무엇인가? 

두 모임 표와 구를 각각 {차，…，자}와 { yi , …，光}이라고 하자. 차의 값이 주어 졌 
을 때 자=此일 확률은 바로 1/«이 므로 此가 자를 정 합하지 못할 확률은 시 (1/ n )] 이 다. 
모의 소개 우연값을 생 성하면 이 값들의 어 느것 이 나 ;다와 갈을 확률은 [1_(1 /«)]H 다. 이 
리하여 자를 정 합하는것 이 적 어도 하나 있을 확률은 1-[1-(1 /«)]H 다. 

계속하여 표의 모든 원소들이 서로 다르다고 가정하자. n 이 크고 A : 역시 크면 (즉 
I 정도이라면) 이것은 좋은 근사이다. 사실 아주 적은 중복이 있으나 대부분의 값들은 
서로 다를것 이 다. 이 가정밑에 다음과 갈은것을 유도함수 있다. 


Pr[Y 에서는 차를 정합못함] = ᅲ_| 

Pr [구에 서 는 표를 정 합못함] = 

R(«，A:)=Pr[Y 에서는 표를 정합할 적어도 하나가 있음]=1<1-丄 j 
부등식 8-4 를 리용하면 

R ( n , it ) > l ~( e~ Un f 

R ( n , k ) > l -( e _ 이 

질문을 하나 제 기 하자. R(«,A:)>0.5 일것을 요구하는 소의 값은 무엇 인가? 이 요구를 만족 
시키기 위하여 



1/2 = 1-(e_ 1/n :f 

2=e kl ' n ( 8 - 8 ) 

b 2 

비2) = 느 
n 

k = ^/(111(2))« =0.83 yfn ~4 n 

이것을 다음과 같이 생 일공격 에 관계되는 용어 로 규정할수 있다. 2™ 개의 가능한 출 
력 (즉 mbit 출력 )을 가지 는 함수 H 가 있 다고 가정 하자. H 를 소개 우연입 력 에 적 용하여 
모임 표를 생성해 내 고 다시 소개의 보충적 인 우연입 력 에 적 용하여 모임 구를 생성해 낸다. 
두 모임 사이의 정합을 이루는것이 적어도 하나 있을 (즉 어떤 입력 xeX , : ye 모에 대하여 
HOc)=H(}；)) 확률이 있을 오의 값은 무엇이여야 하는가? 근사식 8-8 을 리용하면 


k= V2™ =2 m,2 
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제 9 장. 하쉬 및 Mac 알고리듬 


하쉬함수의 전개와 대칭블로크암호의 전개에는 일련의 류사성이 있다. 힘내기공격의 
증가능력과 암호분석의 발전은 DES 의 인기를 떨어 뜨렸으며 특수한 암호분석공격을 방 
지 하기 위하여 많은 기 능과 보다 긴 열쇠 길 이를 가진 새 로운 알고리 듬을 설계하게 하였 
다. 마찬가지 로 계 산능력 과 하쉬함수암호분석 의 발전은 두개 의 아주 극적 인 하쉬함수 
MD 4 와 MD 5 의 인기 를 떨 어 뜨렸 다. 이 에 대 한 도전으로서 보다 새 로운 하쉬알고리 듬은 
보다 긴 하쉬 부호로 발전되 였 으며 특수한 암호분석 공격 을 방지 하기 위하여 많은 기 능을 
가지 도록 설계 되 였 다. 다른 하나의 류사성 은 증명된 구조로부터 떨 어 지지 않으려고 하 
는것 이 다. DES 는 페 이 스털 ( Feistel ) 암호에 기 초하고 있는데 사실 이 암호는 샤농 
( Shannon ) 의 치환망제의에 기초하고 있다. 실제적으로 중요하고 본질적인 블로크암호 
는 페이스털설계를 따른다. 왜냐하면 그 설계가 새롭게 발견된 암호분석위협을 방지하는 
데 적합하기때문이다. 그 대신에 완전히 새로운 설계가 대칭블로크암호에 리용되였다면 
구조자체가 아직은 생각하지 못한 새로운 공격의 길을 열어 놓았을것이라는 생각도 있다. 
마찬가지로 대부분의 중요한 현대하쉬함수들은 그림 8-10 의 기본구조를 따른다. 다시 이 
것은 기본적으로 건전한 구조이라는것을 증명하였으며 보다 새로운 설계는 단순히 그 구 
조를 세분화하며 하쉬부호길이에 첨부하였다. 

이 장에 서 는 3개 의 중요한 하쉬함수 MD 5, SHA -1 과 RIPEMD -160 을 본다. 그다음 
에 하쉬함수의 리용에 기 초하는 인터네 트표준통보문인증부호 HMAC 를 본다. 


9.1 MD 5 통보문요약정보알고리듬 

MD 5 통보문요약알고리 듬 (RFC 1321) 은 론 리 베 스트 (Ron Rivest ) 가 MIT 에 서 개 발 
하였다. 최근 몇년전까지 폭력과 암호분석 이 둘 다 제 기될 때 MD 5 가 가장 안전하게 리 
용된 안전한 하쉬알고리 듬이 다. 

MD 5 론리 

이 알고리듬은 임의의 길이의 통보문을 입력으로 취하여 128 bit 통보문요약을 출력으 
로 내보낸다. 입력은 512 bit 블로크내에서 처리된다. 

그림 9-1 은 요약을 생성해 내는 통보문의 전반적처 리를 보여 준다. 이것은 그림 8- 
10에서 보여 준 일반구조를 따른다. 처리는 다음의 단계들로 이루어 진다. 

• 단계1: 메 꾸기비 트의 첨 가. 통보문을 그 비 트길 이 가 mod 512에 관하여 448과 합동 
(길 이 S 448 mod 512) 이 도록 공백 으로 메 꾼다. 즉 메 꾸어 진 통보문이 이 미 요구된 
길이비트의 옹근수배수보다 적은 64 bit 이 다. 통보문이 이미 요구된 길이일 때도 메 
꾸기 를 항상 첨 가한다. 실례 로 통보문이 448 bit 이 면 512 bit 를 메꾸기하여 960 bit 의 
길이로 된다. 이리하여 메꾸어 지는 비트수는 1부터 512사이에 놓인다. 

메꾸기는 필요한 수의 0- bit 에 의해 뒤따르는 유일한 1- bit 로 이루어 진다. 
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단계 2: 길 이의 첨 가. (메꾸기 전에 ) 원래 통보문의 비 트길 이 의 64 bit 표현은 단계 의 
결과(최소의 유효한 바이트를 우선)에 첨가된다. 원래의 길이가 2 64 보다 크면 오직 
길이의 낮은자리 64 bit 만을 리용한다. 이리하여 그 마당은 mod 2 64 에 관하여 원래통 
보문의 길이를 포함한다. 첫 두단계의 결과는 512 bit 길이의 옹근수인 통보문을 산출 
한다. 그림 9-1 에서는 확장된 통보문을 512 bit 블로크렬 Y 0> Y 1； …， 로 표현하 
여 확장된 통보문의 총 길이는 LX 512 bit 이다. 동등하게 결과는 1632 bit 단어의 배수 
이다. M [0 … AKL ] 은 N 이 16의 옹근수배수인 결과통보문의 단어를 표시한다고 하 
자. 이 리하여 iV = Z 》<16 이 다. 


메 꾸기 통보문길 이 

Lx 5 i 2 bit = Nx 32 bit _ (1 부터 512 bit 까지 ) y (K mod 2 64 )^ 


Kbit 








L _^ ^ 

문 

|ioo … 

[0 


512 bit 512 bit | 512 bit 512 bit 



1 Yn 


| ••• | A 

1 … I 


512/ 

/ 512, 

[ 5斗 

卜 51、 



^ Hmds H MD5 128, _ H MD5 

dJ 체 성 

128bit 요약 


그림 9-1. MD 5 를 리용한 통보문요약생성 


• 단계 3: MD 완충기의 초기화. 128 bit 완충기는 하쉬 함수의 중간 및 최종결과를 보관하 
는데 리 용된 다. 완충기 를 4개 의 32 bit 등록기 ( A , B , C , D ) 로 표현할수 있 다. 이 등 
록기를 다음과 같은 32 bit 옹근수 (16 진)로 초기화한다. 


A =67452301 
B = EFCDAB 89 
C =98 BADCFE 
D = 10325476 


이 값들을 작은 endian 양식속에 기억시키는데 이것은 낮은 주소바이트위치에 
서 단어 의 최 소유효바이 트이다. 32 bit 렬 의 초기 화값 (16 진)은 다음과 같다. 
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매 회 전은 作 9 )를 처 리하는 현재 의 512bit 블로크와 128bit 완충기 값 ABCD 를 입 력 
으로 취 하여 완충기의 내용을 갱 신한다 . 매 회전은 또한 시누스함수로 구성된 64 개 
요소표 T[1 ... 64 ] 의 1/4 을 리용한다 . T 의 /번째 요소 TM 는 ^XabsfeinG )) 의 옹근 
수부이다 . 여기서 /는 라디안이다 . abs(sin(0 ) 는 0 과 1 사이 수이므로 고의 매 요소는 
32bit 로 표현할수 있는 옹근수이 다 . 표는 32bit 패 런들의 《우연화된》모임을 제공하는 
바 입력자료에서 임의의 정칙성을 소거한다 . 표 9-1 의 l 은 T 의 값을 렬거한다 . 


표 9-1. MD5 의 열쇠요소 


B 

C 

D 

F 

G 

H 

I 

~ 0 ~~ 

0 

0 

0 

0 

0 

1 

~ 0 ~~ 

0 

1 

1 

0 

1 

0 

~ 0 ~~ 

1 

0 

0 

1 

1 

0 

~ 0 ~~ 

1 

1 

1 

0 

0 

1 

~ 1 — 

0 

0 

0 

0 

1 

1 

1 一 

0 

1 

0 

1 

0 

1 

1 一 

1 

0 

1 

1 

0 

0 

1 一 

1 

1 

1 

1 

1 

0 


1) 론리함수의 진리표 


TBJ-D76AA478 
T[2J=E8C7B756 
T[||.fc242070DB 
TBI-C1BDCEEE 
T [■띠 F57COFAF 
T[|1^4787C62A 
T[_ 、 =A8304613 
T[8] =FD469501 
T [的 ᄃ =698098D8 
T[10] =8B44F7AF 
■11] =FFFF5BB1 
T[1 幻 =895CD7BE 
T[13] =6B901122 
T[14]=FD987193 
T[15] =A679438E 
T[16] =49B40821 


■■17] =F61E2562 
'■18] =C040B340 
; 0t ； Cl9] =256E5A51 
T[20] =E9B6C7AA 
T [ 寒 ll=D62F105D 
T[22] =02441453 
T[23] =D8A1E681 
T[24]=E7D3FBC8 
■T 段田 =21E1CDE6 
T[26]=C33707D6 
T[27]=F4D50D87 
T[28] =455A14ED 
T[29] =A9E3E905 
T [ 別 ] =FCEFA3F8 
'■31] =676F02D9 
T[_I=8D2A4C8A 


T[33] =FFFA3942 
T[34] =8771F681 
T[35] =699D6122 
T[36] =FDE5380C 
T[37] =A4BEEA44 
T[38] =4BDECFA9 
T[39] =F6BB4B60 
T[40] =BEBFBC70 
T[41] =E89B7EC6 
T[42] =EAA127FA 
T[43] =D4EF3085 
T[44] =04881D05 
T[45] =D9D4D039 
T[46] =E6DB99E5 
T[47] =1FA27CF8 
T[48] =C4AC5665 


T[49] =F4292244 
T[50] =432AFF97 
T[51] =AB9423A7 
T[5 幻 =FC93A039 
T[53] =655B59C3 
T[54] =8F0CCC92 
T[55] =FFEFF47D 
T[56] =85845DD1 
T[57] =6FA87E4F 
T[58] =FE2CE6E0 
T[59] =A3014314 
T[60] =4E0811A1 
T[61] =F7537E82 
T[6 幻 =BD3AF235 
T[63] =2AD7D2BB 
T[64] =EB86D391 


l) 시누스함수들로 구성된 표 T 
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네번째 회전의 출력은 CV^il- 생성해 내는 첫 회전 (cv 9 ) 의 입력에 첨가된다. 더 
하기 는 mod 2 32 에 관한 더 하기를 리 용하여 CV 9 의 대 응하는 매 단어 와 함께 완충 
기의 4개의 매 단어에 대하여 독립적으로 진행된다. 

• 단계 5: 출력 . 모든 L 다음에 512 bit 블로크를 처 리 하며 L 번째 단계의 출력은 128 bit 통 
보문요약이다. 

MD 5 의 작용을 다음과 같이 개괄할수 있다. 

CV 0 = IV 

CV 9+1 = SUM 32 ( CV q , RFi [ Y 9 , RF h [ Y 9> RF g [ Y ,, RF f [ Y ,, CV 9 ] ]]]) 

MD = CV L 


여기서 

IV : 단계 3 에서 정의된 완충기의 초기값 

Y , : 통보문의 상번째 512 bit 블로크 

L : 통보문에서 블로크수(메꾸기와 길이마당포함) 

CV , : 통보문의 상번째 블로크와 함께 처리된 련쇄변수 
RF X : 원시국부함수 표를 리용한 회전함수 
MD : 최종동보문요약값 

SUM 32 ： 입력쌍의 매 단어우에서 개별적으로 진행된 mod 2 32 에 관한 더하기 

MD 5 압축함수 

하나의 512 bit 블로크처 리의 4개의 매 회전에 대한 론리를 보다 구체적으로 보자. 매 회 
전은 완충기 ABCD 우에서 조작하는 16개 단계들의 렬로 이루어 진다. 매 단계의 형태는 


a<—b + ( (社+ g ( b , c , d ) + X [소] + T [!3 )<«s 


여기서 

a , b , c , d ： 단계 에 따라 변하는 순서로 서술된 완충기의 4개 단어 
g : 원시함수 F , G , H , I 중의 하나. 

«<s : s 개 비 트에 의 한 32 bit 인자의 왼쪽순환밀 기(회 전) 

X [ k ] : M 나 X 16+ 技!:통보문의 상번째 512 bit 블로크에서 오번째 32 bit 단어 

T [ i ] : 행렬 고에서 /번째 비트단어 

M : mod 2 32 에 관한 더 하기 

그림 9-3 은 단계 연산을 보여 준다. 4개의 단어 ( a ， b , c , d ) 를 리용하는 순서는 매 단 
계에 대하여 한 단어의 단어수준오른쪽순환밀기를 생성해 낸다. 

4개의 원시국부함수들중의 하나는 알고리듬의 4개의 매 회전에 리용된다 . 매 원시 
함수들은 3개의 32- bit 단어를 입 력으로 취하여 32- bit 단어를 출력 으로 내보낸다. 매 함 
수는 비 트별 론리연산들의 모임 을 진행한다. 즉 출력 의 «번째 비 트는 3개 입 력의 «번째 
비 트에 관한 함수이다. 함수들을 다음과 같이 개 괄할수 있 다. 
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[ABCD 

[DABC 

[CDAB 

[BCDA 

[ABCD 

[DABC 

[CDAB 

[BCDA 

[ABCD 

[DABC 

[CDAB 

[BCDA 


AA,BB,CC,DD 로 보관 */ 

AA=A 

BB=B 

CC=C 

DD=D 

/* 1 회전 */ 

/* 연산 

a=b+ ((a+F (b,c,d)+X [k] +T [i] 
s) 을 [abed k s i] 로 표시 한다 
음의 16개 연산을 한다. */ 
[ABCD 0 7 


[DABC 

[CDAB 

[BCDA 

[ABCD 

[DABC 

[CDAB 

[BCDA 

[ABCD 

[DABC 

[CDAB 

[BCDA 

[ABCD 

[DABC 

[CDAB 

[BCDA 


3 

4 
& 
6 

7 

8 

9 

10 
11 
12 

13 

14 

15 


12 

17 

22 

7 

12 

17 

22 

7 


17 

22 


/* 2 회 전 */ 
/* 연산 


/* 3회전 */ 

/* 연산 

a=b+ ((a+H (b,c,d)+X [k] +T [i]) 次 
<s) 을 [abed k s i] 로 표시 한다. 
다음의 16개 연산을 한다. */ 


[ABCD 

5 

4 

33] 

[DABC 

8 

11 

34] 

[CDAB 

11 

16 

35] 

[BCDA 

14 

23 

36] 

[ABCD 

1 

4 

37] 

[DABC 

4 

11 

38] 

[CDAB 

7 

16 

39] 

[BCDA 

10 

23 

40] 

[ABCD 

13 

4 

41] 

[DABC 

0 

11 

42] 

[CDAB 

3 

16 

43] 

[BCDA 

6 

23 

44] 

[ABCD 

9 

4 

45] 

[DABC 

12 

11 

46] 

[CDAB 

15 

16 

47] 

[BCDA 

2 

23 

48] 


/* 4회전 */ 

/* 연산 

a=b+ ((a+I (b,c,d)+X [k] +T [i]) «< 
s) 을 [abed k s i] 로 표시 한다. 다 
음의 16개 연산을 한다. */ 


[ABCD 

0 

6 

49] 

[DABC 

7 

10 

50] 

[CDAB 

14 

15 

51] 

[BCDA 

5 

21 

52] 

[ABCD 

12 

6 

53] 


a=b+ ((a+G (b,c,d)+X [k] +T [i])« 
<s) 을 [abed k s i] 로 표시 한다. 
다음의 16개 연산을 한다. */ 
[ABCD 1 5 17] 

[DABC 6 9 18] 

[CDAB 11 14 19] 

[BCDA 0 20 20] 


/* 매 16 -단어 (512-bit) 블로크처 리 */ 
For q=0 to (N/16)-l do 

/* 블로크 다를 X에 복사. */ 
For j=0 to 15 do 

Set X [j] to M [q*16+j]. 
end /* j 에 관한 순환 */ 

/* A,B,C,D 를 각각 


1]2]3]4]5]6]7]7]9]0]1]21 
222222222333 

4 0 4 4 4 0 
591259115912 

0 5 4 3 2 
511491381271 


I ——I I ——I I—_ I ——I I ——I I —I I― I I —I I — I 0 12 3 4 5 6 
1234567891111111 
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/* 4 개 등록기 매 개 가 이 불로크를 
시작하기전에 가진 값들로 매 등록 
기의 증가 */ 

A = A+AA 

B = B+BB 

C = C+CC 

D = D+DD 

end /* q 에 관한 순환 */ 


[DABC 

[CDAB 

[BCDA 

[ABCD 

[DABC 

[BCDA 

[ABCD 

[DABC 

[CDAB 

[BCDA 


그림 9-4. 기본 MD 5 갱신알고리듬 (RFC 1321) 


구의 64개의 32 bit 단어요소 매개는 한회전 한단계동안 정확히 한번 리용된다. 또한 
매 단계에 대하여 오직 ABCD 완충기의 4개 바이트중 하나만이 갱신된다는것을 강조한다. 
따라서 완충기의 매 바이트는 회전당 4번 갱신되며 그다음 5번째에는 이 블로크에 대한 
최 종값을 생성해 내 는 마감에 갱 신된다. 최 종적 으로 4개의 각이한 왼쪽순환밀기량은 매 
회전에서 리용되며 회전에 따라 다르다. 이 복잡성모두는 충돌(같은 출력을 생성해 내는 
2개 의 512 bit 블로크)을 생 성 하는것 이 아주 힘 들다는것 이 다. 

MD 4 

MD 4 는 같은 설계 가 론 리베 스트가 개 발한 MD 5 의 전신이 다. 이것은 원래 1990년 
10월에 RFC 로 발표되였다. 약간 개정된 판이 1992년 4월에 MD 5 와 같은 날자에 RFC 
1320으로 발표되 였 다. MD 5 는 리 베 스트의 문헌 [ RIVE 9()] 을 문서 화한 MD 4 의 설계 목표를 
공유하므로 간단히 MD 4 를 론의한다. 다음과 갈은 목표를 렬거하였 다. 

• 보안: 하쉬부호에 대 한 유용한 요구가 있다. 다시 말하여 같은 통보문요약을 가지 
는 두 통보문을 구하는것은 계산량적으로 불가능하다는것이다. 이것의 발표시각에 
요약의 길 이때문에 MD 4 는 힘 내기공격에 안전하였다. 리베스트는 또한 기술상태 
와 MD 4 의 복잡상태 에 기초한 암호분석공격 에 안전하다는것을 느끼 였다. 

• 속도 : 알고리 듬은 고속으로 실 행하는 쏘프트웨어 에 의한 실현에 그자체 를 제 공한 
다. 특히 알고리 듬은 32 bit 방식 에 서 고속일 것 이 다. 이 리하여 알고리 듬은 32 bit 단 
어 우에 서 원시연산들의 간단한 모임 에 기 초하고 있 다. 

• 단순성과 조밀성 : 큰 프로그람을 요구하거 나 치환표를 요구함이 없이 알고리듬을 
서 술하고 관리하는것 이 단순하다. 이 런 특성 들은 뚜렷 한 프로그람작성 우점 을 가질 
뿐아니라 보안의 관점으로부터 적합하다. 왜냐하면 단순한 알고리듬은 필요한 판 
정기준을 얻는데 더 적합하기때문이다. 

• favor - little - endian 방식 : 일 부 처 리 방식 (Intel 80 xxx 와 Pentium 계 렬 과 같은것 ) 
들은 단어의 최소유효바이 트를 낮은 주소바이트위 치 ( little - endian ) 에 기 억 한다. 
다른 방식 (SUN Sparcstation ) 들은 단어 의 가장 유효한 바이 트를 낮은 주소바이 
트위 치 ( big - endian ) 에 기 억 한다. 이 차이 는 통보문을 32 bit 단어 들의 렬을 취 급할 
때 유효하다. 왜냐하면 두 방식중의 하나는 처리를 위해 매 단어에서 바이트를 반 


4567801234 

5555566666 

0 5 1 o 1 0 5 1 
1126126112 

31018151341129 
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전해 야 하기 때 문이 다. 리베 스트는 통보문을 32 bit 단어 들의 렬 로 해 석 하기 위해 
little - endian 방식을 선택 하였다. 이 선택은 big - endian 처리가 일반적으로 고속이 
라는 리베스트의 관찰에 기초하고 있으므로 처리벌칙을 더 좋게 줄수 있다. 

이 설계목표는 MD 5 에서 수행되였다. MD 5 는 좀 더 복잡한것 이므로 MD 4 보다 실행 
속도가 좀 뜨다. 리베스트는 첨가된 복잡성 이 주어 진 보안의 증가수준에 의해 정 당화되 
였다는것을 느끼였다. 다음과 같은것 이 둘사이의 주요차이 이 다. 

1. MD 4 는 매개가 16개 단계들로 이루어 진 3개 회전을 리용한다면 MD 5 는 매개가 
16개 단계들로 이루어진 4개 회전을 리용한다. 

2. MD 4 에 서 는 첫 회 전에 서 보충적 인 상수를 리용하지 않는다. 세 번째 회 전의 매 
단계 에 서 다른 하나의 보충적 인 상수를 리용한다. MD 5 에 서 는 서 로 다른 보충 
적 인 상수 T [/] 를 64개의 매 단계에서 리용한다. 

3. MD 5 는 4개 의 원시 론리함수를 리용하여 매 회 전에 서 이 것 들은 MD 4 에 서 의 3개 
와 비교되여 다시 매 회전에서 이것들을 리용한다. 

4. MD 5 에서는 매 단계가 선행단계의 결과에 보충된다. 실례로 단계 1의 결과는 
단어 A 를 갱신한다. D 에 기억된 단계 2의 결과는 A 를 왼쪽순환밀기로 보충함으 
로써 형성된다. 마찬가지로 단계 3의 결과는 Oil 기억되며 D 를 왼쪽순환밀기결 
과에 보충함으로써 형성된다. MD 4 는 이 최종보충을 포함하지 않는다. 리베스트 
는 선행단계의 결과의 포함이 보다 큰 사태의 효과를 조장시킨다는것을 느끼였다. 

■ 의 강도 

MD 5 알고리 듬은 하쉬 부호의 매 비 트가 입 력안에서 의 매 비 트에 관한 함수이라는 성 
질을 가진다. 기초함수(民이11，1)의 복잡한 반복은 잘 혼합된 결과를 내보낸다. 즉 우 
연적으로 선택된 두 통보문이 류사한 규칙성을 가진다고 할지라도 갈은 하쉬부호를 가질 
것 이 라는데는 적 합하지 않다. 리베스트는 128 bit 하쉬부호에 대 하여 가능한껏 MD 5 가 강 
하다는것을 RFC 로 추측한다. 다시말하여 같은 통보문요약을 가지는 두 통보문을 받을 
어 려 움성 은 2 64 번의 연산의 준위 이라면 주어 진 요약을 가진 통보문을 구할 어 려 움성은 
2 128 번의 연산의 준위이다. 

이 작성에서 그 어떤 분석도 이런 추측을 발견하지 못한다. 그러나 MD 5 에 대한 공 
격에는 다음과 갈은 불길한 경향도 있었다. 

1. 버 손 ( Berson ) 의 문헌 [ BERS 9 幻은 서 로 다른 암호분석 을 리 용하여 하나의 회 전 
MD 5 에 대 한 같은 요약을 생성해 내는 두 통보문을 구하는것 이 적 당한 시 간내 
에 가능하다는것을 보여 주었다. 4개 회전중 매개에 대하여 결과를 보여 주었다. 
그러나 저자는 완전한 4개 회전 MD 5 에 대한 공격을 어떻게 일반화하는가를 보 
여 줄수 없었다. 

2. 보어 ( Boer ) 와 보슬래 즈 ( Bosselaers ) 의 문헌 [ BOER 93] 은 통보문블로크 표와 같 
은 출력상태를 산생하는 2개의 관련된 련쇄변수를 어떻게 구하는가를 보여 주었 
다. 즉 512 bit 의 단일블로크에서 MD 5 의 실행은 완충기 ABCD 안에 두개의 서로 
다른 입력값에 대한 같은 출력을 산생할것이다. 이것을 준충돌 ( pseudocollision ) 
이 라고 부론다. 현재 MD 5 의 성공적 인 공격 에 대 한 이 방식을 확장하는 방법은 
없는것 갈다. 
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3. MD 5 에 대 한 가장 심 각한 공격 을 도버 린 ( Dobbertin ) 의 문헌 [ DOBB 96 a ] 이 개 
발하였 다. 그의 기 술은 MD 5 압축함수에 대 한 충돌을 생 성할수 있는것 이 다. 즉 
이 공격 은 같은 128 bit 출력 을 생성해 내는 다른 블로크를 찾음으로써 하나의 
512 bit 입 력 블로크우에 서 MD 5 의 연산에 대 하여 동작한다. 이 런 작성 에 대 하여 
MD 5 의 초기 값 ( IV ) 을 리용하여 완전한 통보문에 대 한 이 공격 을 일 반화하는것 
을 구하는 방법은 아직 없다. 그럼에도 불구하고 이 공격의 성과는 위 안에 불과 
할뿐이다. 

이 리하여 암호분석의 관점 으로부터 MD 5 는 이제 는 약한것 으로 고찰되 여 야 한다는것 
을 알게 되였다. 더 나아가서 힘내기공격의 관점으로부터 MD 5 는 이제는 2 64 의 효과준위 
로 요구하는 생 일공격 에 약하다. 그러므로 보다 긴 하쉬부호를 가지며 암호분석의 알려 
진 방법들에 더 방어적 인 하쉬함수와 극적 인 MD 5 를 재배 치할 필요가 있다. 두개의 후 
보 SHA -1 과 RIPEMD -160 이 나왔다. 이 것들을 다음 두개 절에서 설명한다. 


9.2 안전한 하쉬알고리듬 

안전한 하쉬알고리 듬 ( SHA ) 을 1993년에 민족표준 및 기 술연구소 ( NIST ) 가 개 발하였 
으며 련방정보처 리표준 (FIPS PUB 180) 으로 발표하였다. 갱 신판이 1995년에 FIPS PUB 
180-1 로 발행되 였으며 일반적으로 SHA -1 이 라고 한다. SHA 는 MD 4 알고리듬에 기초하 
고 있으며 그 설계는 MD 4 와 밀접히 관련되여 있다. 

SHA -1 론리 

이 알고리듬은 2 64 bit 보다 작은 최대길이를 가지는 통보문을 입력으로 취하여 160 bit 
통보문요약을 출력으로 내보낸다. 입력은 512 bit 블로크로 처리된다. 

전면적인 통보문처리는 그림 9-1 에서 보여 준 512 bit 의 블로크길이와 하쉬길이 그리 
고 160 bit 의 련쇄 변수길 이를 가지는 MD 5 의 구조를 따른다. 처 리는 다음과 같은 관계들 
로 이루어 진다. 

• 단계1: 메꾸기비트의 첨가. 통보문의 길이가 mod 512에 관하여 448과 합동(길이 
=448 mod 512) 이도록 통보문을 메 꾼다. 통보문이 이미 요구된 길 이 라고 할지 라 
도 메 꾸기 는 항상 첨 가된 다. 이 리하여 메 꾸기비 트의 수는 1부터 512사이 다. 메 
꾸기는 0- bit 의 필요한 수로 뒤따르는 하나의 1- bit 로 이루어 진다. 

• 단계 2: 길이첨가. 64 bit 블로그를 통보문에 첨가한다. 이 블로크를 부호 없는 
64 bit 옹근수(가장 유효한 바이트의 첫번째)로 취급하며 이것은 (메꾸기를 하기전 
에)원래의 통보문의 길이를 포함한다. 

• 단계 3: MD 완충기 의 초기 화. 160 bit 완충기 를 리 용하여 하쉬 함수의 중간결 과와 최 
종결과를 취한다. 완충기를 5개의 32 bit 등록기 ( A ， B ， C ， D ， E ) 로 표현할수 있다. 
이 등록기들을 다음과 갈은 32 bit 옹근수 (16 진수)로 초기화한다. 
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A=67452301 
B=EFCDAB89 
C=98BADCFE 
D = 10325476 
E=C3D2E1F0 

첫 4 개 값들은 MD5 에서 리 용된것과 같다는것을 강조한다. 그러 나 SHA-1 인 
경우에 이 값들은 big-endian 양식에 기억되는데 이것은 낮은 주소바이트위치에 
서 단어의 가장 유효한 바이 트이다. 32bit 렬의 초기 값은 다음과 같다. 

word A ： 67 45 23 01 

word B ： EF CD AB 89 
word C ： 98 BA DC FE 
word D ： 10 32 54 76 

word E ： C3 D2 El F0 


• 단계 4: 512 bit (16 단어)블로크로 통보문처리 . 알고리듬의 기본은 20 개의 매 단계 
처리의 4 개 회전들로 이루어 진 모둘이다. 그림 9-5 에서 그 론리를 보여 준다. 
4 개의 회전은 류사한 구조를 가지지만 매개는 각각 f x , f 2 , f 3 , : f 4 라고 한 서로 
다른 원시 론리함수를 리 용한다. 

매 회전은 (Y q ) 를 처리하는 현재 512bit 블로크와 160bit 완충기값 ABCD 를 입력으 
로 취 하여 완충기의 내용을 갱신한다. 매 회전은 또한 보충적 인 상수 民를 리용한다. 여 
기서 0< f<79 는 4 개 회전에 대한 80 개 단계들중의 하나이다. 사실 오직 4 개의 서로 다 
른 상수들만을 리용한다. 그 값들은 16 및 10 진수로 아래의 표와 갈다. 


단계 수 

16 진수 

옹근수부 

0 < t <19 

K,=5A827999 

[2 30 x V2] 

20 < 호 <39 

K,=6ED9EBA1 

[2 30 x V3] 

40 < 호 <59 

K,=8F1BBCDC 

[2 30 x V5] 

60 < t <79 

K,=CA62C1D6 

[2 30 t#0] 


4 번째 회전 (18 번째 단계)의 출력을 CV q+1 를 생성해 내는 첫 회전 (CV q ) 의 입력에 
첨 가한다. 첨 가는 mod 2 32 에 관한 더 하기를 _용하여 CVq 에서 대응하는 매 단어 를 가 
지 는 완충기안의 5 개 의 매 단어 에 대 하여 독립 적 으로 한다. 

• 단계 5: 출력. 모든 L 개의 512bit 블로크들을 처리한 다음에 L 번째 계단으로부터의 
출력은 160bit 통보문요약이다. 

SHA-1 의 작용을 다음과 같이 개괄할수 있다. 


CV 0 =IV 

CV 9+1 = SUM32 (cv q , abcde 9 ) 
md=cv l 
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32 bit 단어값 W , 를 512 bit 통보문으로부터 어떻게 유도하는가를 지적하는것이 남았다. 
그림 9-7 은 이 넘기 기를 보여 준다. W , 의 첫 16개 값을 현재블로크의 16개 단어 로부터 
직 접 취 한다. 나머 지 값들은 다음과 같이 정 의한다. 

W ^ S 1 ( W rt6 田 W rt 4® W 대© W 卜 3) 

이 리하여 처 리의 첫 16개 단계 에서 W , 의 값은 통보문블로크에서 대 응하는 단어 와 같 
다. 나머지 64개 단계에 대하여 W , 의 값은 W 되 선행값중 4개의 XOR 의 한 비트에 의해 
왼쪽순환밀기로 이루어 진다. 이것은 MD 5 및 RIPEMD -160 과 두렷한 차이로서 이 두개는 


표 9-2. _ SHA -1 에 대한 론리함수의 자리표 


B 

C 

D 

fo..i9 

知0"39 

^40.. 59 

균60"79 

0 

0 

0 

0 

0 

0 

0 

0 

0 

1 

1 

1 

0 

1 

0 

1 

0 

0 

1 

0 

1 

0 

1 

1 

1 

0 

1 

0 

1 

0 

0 

0 

1 

0 

1 

1 

0 

1 

0 

0 

1 

0 

1 

1 

1 

1 

0 

1 

1 

1 

0 

1 

1 

1 

0 

1 



매 단계함수에 입 력 으로서 직 접 통보문블로크의 16개 단어 중 하나를 리 용한다. 그리 고 
오직 단어의 순서만을 회전에 따라 치환한다. SHA -1 은 16개 블로크단어를 압축함수에 
서 리 용하기 위하여 80개 단어 로 확장한다. 이것은 통보문블로크에 과잉성과 호상관련성 
의 취 급을 도입하게 하는데 통보문블로크들은 비 교되 여 같은 압축함수출력 에 로 넘 기는 
서 로 다른 통보문블로크를 구하는 과제를 복잡하게 한다. 
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SHA -1 고 f MD 5 으 I 압축함수 

둘 다 MD 4 로부터 유도되므로 SHA -1 과 MD 5 는 다른 또 하나의것과 아주 류사하다. 
따라서 그의 강도와 다른 특징들도 아주 류사하다. MD 4 에 대하여 앞에서 인용한 설계 
목표를 리용하여 두 알고리듬을 비교한다. 

• 힘내기공격에 대한 보안: 가장 명백하고 중요한 차이는 SHA -1 요약이 MD 5 요 
약보다 32 bit 더 길다는것 이 다. 폭력기술을 리용하여 주어 진 통보문요약을 가 
지는 임의의 통보문을 생성해 내는 어 려움성은 MD 5 에 대 해서는 2 128 번의 연산 
준위이 며 SHA -1 에 대 해서 는 2 16G 번의 연산준위 이 다. 다시 폭력기 술을 리용하 
여 같은 통보문요약을 가지 는 두 통보문을 생성해 내 는 어 려 움성 은 MD 5 에 대 
해서는 2 64 번의 연산준위이며 SHA -1 에 대 해서는 2 8G 번의 연산준위 이 다. 이 리 하 
여 SHA -1 은 힘내기공격에 상당히 강하다. 

• 암호분석 에 대 한 보안: 앞의 절 에서 론의한바와 같이 MD 5 는 그의 설계때부터 
발견된 암호분석공격 에 약하다. SHA -1 은 이 런 공격 에 약하지 않다. 그러 나 
작은것 이 SHA -1 를 위한 설 계판정 기 준에 대 하여 공개 적 으로 알려 져 서 그의 
강도는 그렇지 않은 경우보다 평가하기가 더 힘들다. 

• 속도: 두 알고리듬이 심중하게 mod 2 32 에 관한 더 하기를 따르므로 둘 다 32 bit 
방식 으로 한다. SHA -1 은 더 많은 단계 (80 대 64) 를 포함하며 MD 5 의 128 bit 
완충기 에 비 교하여 160 bit 완충기 를 처 리 해 야 한다. 이 리하여 SHA -1 은 같은 
하드웨 어 에 관하여 MD 5 보다 더 느리 게 실 행할것 이 다. 

• 단순성과 콤팍트성 : 두 알고리 듬은 서 술하고 실현하는것 이 단순하며 큰 프로 
그람이나 치환표를 요구하지 않는다. 

• little - endian 대 big - endian 방식: MD 5 는 통보문을 32 bit 단어들의 렬을 해석하 
기 위 하여 little - endian 방식을 리 용한다면 SHA -1 은 big - endian 방식을 리 용한 
다. 두 방식보다도 더 발전된것은 아직 없는것 갈다(이것이 적합하다. 왜냐하면 
SHA 의 NSA 설계가들은 원형실현을 위해 Sun 을 리용하였기때문이다). 


9.3 RIPEMD -160 

RIPEMD -160 통보문요약알고리 듬(문헌 [ DOBB 96 B ， BOSS 97]) 을 유럽 RACE 완정 성 
원시 평 가 ( RIPE ) 대 상과제 하에 MD 4 와 MD 5 에 대 한 성 과적 인 공격 을 부분적 으로 시 작한 
연구집 단이 개발하였다. 이 집 단은 원래 128 bit 판의 RIPEM 을 개발하였다. RIPE 대상과 
제의 마감에 에취. 도버린 (RIPE 대상과제의 한 성원이 아닌 사람) 은 RIPEMD 의 두 회 
전에 대 한 공격을 발견하였으며 후에는 MD 4 와 MD 5 에 대 한 공격 을 발견하였다. 이 공 
격 들때 문에 RIPE 협 회 의 일부 성 원들로 RIPEMD 를 갱 신하기 로 결정 하였 다. 설 계 작업 을 
그들과 도버린 이 하였 다. 

RIPB ^ D -160 론리 

이 알고리듬은 입력으로서 임의의 길이의 통보문을 취하여 출력으로서 160 bit 통보문 
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요약을 내보낸다. 입력은 512bit 블로크로 처리된다. 

통보문의 전면적인 처리는 그림 9-1 에서 512bit 의 블로크길이와 하쉬길이 그리고 
■bit 의 련쇄변수길이를 가지는 MD5 에 대하여 보여 준 구조를 따른다. 처리는 다음과 
갈은 단계들로 이루어 진다. 

• 단계 1: 메꾸기비트의 첨가 . 통보문의 길이가 mod 512 에 관하여 448 과 합동(길이 = 
448 mod 512) 이 되도록 통보문을 메문다. 통보문이 이미 요구하는 길이로 될지라도 
메 꾸기 는 항상 첨 가된 다. 이 리하여 메 꾸기비 트의 수는 1 부터 512 사이 이 다. 메 꾸기 는 
0-bit 의 필요한 수에 의해 뒤따르는 하나의 1-bit 로 이루어 진다. 

• 단계 2: 길이첨가 . 64bit 의 블로크를 통보문에 첨가한다. 이 블로크를 부호 없는 
64bit 옹근수(최소유효바이트의 첫번째)로 취급하며 이것은(메꾸기전에) 원래 통보문 
의 길 이를 포함한다. MD5 에서처 럼 그리고 SHA-1 과 대 비하여 보면 RIPEMD-160 
은 little-endian 협 약을 리 용한다. 

• 단계 3: MD 완충기의 초기화 . 160bit 완충기를 리용하여 하쉬함수의 중간결과와 최종 
결과를 엄는다. 완충기를 5 개의 32bit 등록기 (A, B, C, D, 리로 표현할수 있다. 이 
런 등록기들은 다음과 갈은 16 진수값들로 초기화된다. 

A=67452301 

B=EFCDAB89 

C=98BADCFE 

D=10325476 

E=C3D2E1F0 

이것들은 SHA-1 에서 리용된것들과 갈은 값들이며 첫 4 개는 MD5 에서 리용된 것들 
과 같은 값이다. MD5 에서와 같이 이 값들을 little-endian 양식에 기억시킨다. 

• 단계 4: 512 bit (16 단어)블로크안에서 통보문의 처리 . 알고리듬의기본은 16 개 단계의 
매개 처리의 10 개 회전들로 이루어 진 모둘이다. 10 개 회전을 5 개 회전들의 두 병렬 
선 으로 배 치한다. 론리 를 그림 9-8 에 서 보여 준다. 10 개 회 전은 류사한 구조를 가지 
지 만 매 개는 比， f2, f3, f4 및 f5 라고 하는 서 로 다른 원시 론리함수를 리용한다. 
함수들을 오른쪽선에 서 거 꾸로 리 용한다는것 을 강조한다. 

매 회전은 입력으로서 (모 9 )를 처 리하는 현재 512bit 블로크와 160bit 완충기값 
ABCDE (왼쪽 선)또는 A ' B ' C ' D ' E ' (오른쪽 선)를 취 하여 완충기의 내 용을 갱 신 
한다. 매 회 전은 또한 보충적 인 상수를 리용한다. 사실 오직 9 개 의 서 로 다른 상 
수들만을 리용하는데 매개는 령이다. 16 진과 10 진으로 그 값을 표 9-3 에서 보여 
준다. 

CV 9+1 를 생성해 내는 첫 회전 (CV 9 ) 에 대한 련쇄변수의 입력에 5 번째 회전의 
(18 번째 단계)출력을 첨 가한다. 첨 가된 mod 2 32 에 관한 더 하기를 리 용하여 CV 9 안 
의 매개 단어와 매선의 완충기에서 5 개의 매개 단어 에 대 하여 독립적으로 한다. 
첨 가는 다음과 같은 하쉬함수에서 3 개 입 력의 매 개 단어들의 회 전을 포함한다. 
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5 개 의 원시 론리함수들중의 하나는 오른쪽 선우에 서 거 끌순서 로 리 용된 함수들을 가 
진 알고리 듬의 5 개 의 매 개 회 전에 리용한다(그림 9-8). 매 원시함수는 3 개 의 32bit 단어 
를 입 력 으로 취 하여 32bit 단어 를 출력 으로 내 보낸 다. 매 함수는 비 트별 론리연산들의 모 
임 을 진행한다. 즉 출력의 «번째 비트는 3 개 입 력의 «번째 비트에 관한 함수이다. 함수 
를 다음과 같이 개괄할수 있다. 


단계 

함수이름 

함수값 

0 < 7 < 15 


B ® C ® D 

16 < j < 31 

f 2 =f(/,B,C ， D) 

( BaC ) v (- iBaD ) 

32 < 7 < 47 

f 戶 f(/,B,C,D) 

( BaD ) v ( Ca -.D) 

48 < 7 < 63 

f 4 =f(/ ， B ， C ， D) 

B 田 (Cv - 必 ) 

64 < 7 < 79 

f 5 =fO ， B ， C ， D) 

B 效 (CvD) 


론리연산자 (AND, OR, NOT, XOR) 들을 각각 기 호 ( a , v,—, 田)로 표현한다. 함수 
。는 기 우성비트를 내 보낸다. 함수 f 2 은 조건부함수이 다. 즉 B 이면 C 이 고 아니 면 D 이 다. 
마찬가지로 f 4 를 다음과 같이 정식화할수 있다. D 이면 B 이고 아니면 C 이 다. 표 9-4 는 5 
개 함수의 진리표이다. 


표 9-4. RIPEMD-160 에 대 한 론리함수의 진리 표 


B 

c 

D 

fl 

伐 

f3 

f4 

f5 

0 

0 

0 

0 

0 

1 

0 

1 

0 

0 

1 

1 

1 

0 

0 

0 

0 

1 

0 

1 

0 

0 

1 

1 

0 

1 

1 

0 

1 

1 

0 

1 

1 

0 

0 

1 

0 

1 

0 

0 

1 

0 

1 

0 

0 

0 

1 

1 

1 

1 

0 

0 

1 

1 

1 

0 

1 

1 

1 

1 

1 

0 

1 

0 


문헌 [DOBB96b] 로부터 채 용한 다음의 준부호는 하나의 회 전에 대 한 처 리알고리 듬 
을 정 의한다. 

A : =CV 9 (0) ; B : =CV q (1) ; C : =CV q (2) ; D : =CV 9 (3) ; E : =CV 9 (4) : 

A' :=CV 9 (0) : B' -CV^l) : C' : =CV 9 (2) : D' : =0^,(3) ; E' :=CV 9 (4) ; 
for j：=0 to 79 do 

T : =rol s(j) (A+f O', B,C,D) +X r(J) +K (j )) +E; 

A ： =E ； E ： =D ； D ： =roli 0 (C) ;C:=B;B:=T; 

T : =rol s '① (A，+f (79-；, B' , C' ， D') +X /(j) + K' (j )) + E'; 

A’ :=E'; E' : = D' : D’ :=rol 10 (C'); C’ : = B' : B' :=T’ : 
enddo 

CV 9+1 (0)=CV 9 (1)+C+D' : CV <?+1 (1)=CV <? (2)+D+E / : CV, +1 (2)=CV ? (3)+E+A / : 
CV 바 (3) =CV q (4) +A+ B’ ; CV^i (4) =CV, (0) +B+ C' : 
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여기서 

왼쪽 선에 대한 완충기의 5 개 단어 
오른쪽 선에 대한 완충기의 5 개 단어 
단계수, 0 < j < 79 

왼쪽 선의 단계 )와 오른쪽 선의 단계 79-j 에 리용된 원시론리 함수 
32bit 인자의 왼쪽 순환밀기 (회전)이고 s (/_) 는 특별한 단계에 대한 
회 전 량을 결정 하는 함수이다. 

현재 512bit 입 력블로크로부터의 32bit 단어 이 고 r(/) 는 특별한 단어 
를 선택 하는 치 환함수이다. 

단계 ) 에 서 리 용된 첨 가상수 
: mod 2 我에 관한 더 하기 

32bit 단어들의 배렬 X[0..15] 는 처리할 현재의 512bit 입력블로크의 값을 취한다. 한 
회전내에서 16 개 단어들의 매 X[/] 를 매 선우에서 한단계동안에 정확히 두번 리용한다. 
그리 고 이 단어 들을 리용하는 순서 는 회 전에 따라 변한다. 표 9-5 의 1 은 매 선에 서 매 
회전에 리용된 치환을 보여 준다. 치환 n 를 71(0=9/ +5 (mod 16) 으로 표현할수 있다. 
표 9-5 의 l 은 매 회전에서 리용된 왼쪽순환밀기를 정의한다. 표는 특별한 32bit 단어를 
처리할 때 단계에 리용된 밀기의 총 량을 보여 준다. 이것은 밀기를 리용하는 순서가 아 
니다. 그 순서 는 단어 를 리 용할 순서 에 관계 된 다. 

RIPB/1D-160 설계결정 

여기서는 강한 암호학적하쉬함수를 설계하는데서 고려되여야 하는 구체적인 수준의 몇가 
지 사상을 얻 기 위한 RIPEMD-160 의 개 발자들에 의해 제 작된 몇 가지 설 계 결정 을 보기 
로 한다 [DOBB96a]. 

1. 다섯개의 매개 회전의 두 방향선을 리용하여 회전들사이의 충돌구하기의 복잡성 
을 증가시키 는데 이 것을 압축함수의 충돌을 구하기 위한 시 작점 으로 리용할수 
있 다. 

2. 단순성 을 위하여 두 선은 본질 적 으로 갈은 론리 를 리용하거 나 설 계 자들은 가능 
한껏 두 선사이에 많은 차이를 도입하는것 이 필요하다는것을 느끼 였다. 설계 자 
들은 가까운 미래에 두 선중의 하나와 두 병렬선의 세개 회전까지를 공격하는것 
이 가능하지만 그 차이때문에 두 평행선의 결합이 공격을 방지 한다는것을 관찰 
하였다. 그 차이는 다음과 같다. 

1) 두선의 보충적 인 상수들은 서 로 다르다(표 9-3). 

L ) 원시론리함수(知부터 꾼 5 까지)들의 순서는 반전된다. 

n) 통보문블로크에서 32bit 단어들의 처리순서는 서로 다르다(표 9_5 의 1). 

3. 4 개 단어 가 아니 라 5 개 단어 를 리용하는것 을 제 외 하고는 RIPEMD-160 을 위한 
단계 연산은 하나의 보충적 인 제외 즉 lObit 위 치 에 의한 C 단어의 회전을 가지는 
MD5( 그림 9-3) 와 동일하다. 이 회전은 가장 유효한 비트에 집중하는 MD5 공격 
을 피 한다(문헌 [BOER93]). 값 10 은 다른 회 전들에 리용되 지 않으므로 그것 을 
선택 하였 다. 

4. 치 환 31( 표 9-5 의 1) 는 한 회 전 내 에 서 가까운 두 통보문단어가 다음번 에 는 상 
대적으로 멀리 떨어 지게 하는 효과를 가전다. 치환 71( 표 9-5 의 가)는 왼쪽 선 
에서 가까운 두 통보문단어는 항상 오른쪽 선에서 적어도 7 개 위치가 떨어 져 
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있도륵 선택되였다. 

5. 왼쪽순환밀기 (표 9-5 의 니)는 다음과 같은 설계판정기준에 기초하여 선택되였다. 
1) 밀기는 5 부터 15 사이의 범위이다. 5 보다 적은 밀기는 약한것으로 고찰되였다. 
L ) 매 통보문단어는 갈은 기우성을 가지는 일부 5 개 회전에 대한 서로 다른 량 
쪽우에서 회전된다. 

n ) 매 단어에 적용된 밀기는 특수한 패턴을 가지지 않을것이다(즉 총적인것은 
32 로 나누어 지지 말아야 할것 이 다). 

근) 너무 많은 밀기상수들은 4 로 나누어 지지 않을것이다. 

MD5 와 SHA-1 과의 비교 

RIPEMD-160 은 많은 측면에서 보어와 SHA-1 과 류사하다. 왜 냐하면 이 세 알고리 
듬모두는 MD4 로부터 유도된다고 기대되기때문이다. 표 9-6 은 몇가지 류사성과 차이점 
을 보여 준다. 여러가지 관점에서 다음과 같이 설계들에 설명을 줄수 있다. 


표 9-5. _ RIPEMD-160 의 요소 
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一 I) 통보문단어들의 치환 


회전 

X 0 

X! 

x 2 

X 3 

X 4 

X 5 

X 6 

x 7 

X 8 

X 9 

Xio 

X n 

Xl2 

Xi 3 

X 14 

Xl5 

1 

11 

14 

15 

12 

5 

8 

7 

9 

11 

13 

14 

15 

6 

7 

9 

8 

2 

12 

13 


15 

6 

9 

9 

7 

12 

IT 

11 

13 

7 

8 

7 

7 

3 

13 

15 

~TT 

11 

7 

~Y~ 

~~6~ 

~8~ 

13 


13 

12 

1— 

5 

~6~ 

~ 9 ~ 

4 

14 

11 

12 

14 

8 

~6~ 


~5~ 

14 

~\2 

15 

14 


9 

~8~ 

~6~ 

5 

15 

12 


13 

9 

~5~ 

一 § 一 

~~6~ 

15 

~lT 

12 

11 

一 § 一 

6 

~5~ 

~5~ 


L ) 통보문단어 들의 왼쪽순환밀기(두개 선 다) 

• 힘내기공격에 대한 방지 : 세 알고리듬모두는 약충돌방지에 대한 공격에 
약하지 않다. 128bit 에서 MD5 는 강충돌방지 에서 생 일공격 에 아주 약하 
다면 SHA-1 과 RIPEMD-160 은 둘 다 가까운 장래 에는 안전하다. 

• 암호분석 에 대 한 방지 : 앞에서 론의한바와 같이 MD5 의 암호분석 에서 는 
많은 전진이 이루어 졌다. RIPEMD-160 은 특히 알려 진 암호분석공격을 
방지하기 위하여 설계되였다. 비록 SHA-1 의 설계원리를 대략 조금 알고 
있 다고 할지 라도 알려 진 암호분석 공격 들을 강하게 방지하는것 이 가능하 
다. 진행 된 단계 수를 반복하는 두 처 리사이 의 리용은 SHA-1 에 비 하여 
보다 힘든 암호분석 이 되도록 복잡성을 첨 가한 RIPEMD-160 을 준다. 
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표 9-6. _ MD5,SHA-1 과 RIPEMD-160 의 비 교 



MD 5 

SHA -1 

RIPEMD -160 

요약정보길이 

128bit 

160bit 

■bit 

처리의 기본단위 

512bit 

512bit 

512bit 

단계의 수 

64 (16 의 4 회전) 

80 (20 의 4 회전) 

160 (16 의 5 개쌍회전) 

최 대 통보문크기 

oo 

2 64 -lbit 

2 64 -lbit 

원시론리함수 

4 

4 

5 

리용된 보충상수 

64 

4 

9 

Endianness 

Little-endian 

Big-endian 

Little-endian 


몇가지 하쉬함수의 상대적성능 
표 9-7. (266MHz Pentium 우에서 C++ 로 작성한) 

알고리듬 

Mbps 

MD5 

32.4 

SHA-1 

14.4 

RIPEMD-160 

13.6 


• 속도: 세개의 알고리 듬모두는 mod 2 32 에 관한 더 하기 와 단순한 비 트별 
론리연산에 의거하는데 이 모두는 32bit 방식에서 잘 진행된다. 첨가된 복 
잡성 과 SHA-1 및 RIPEMD-160 의 단계 수는 MD5 에 비 하여 느리 게 비 례 
한다. 표 9-7 은 266MHz Pentium 우에서 달성된 일련의 결과들을 보여 
준다. 류사한 상대 적 결 과들을 문헌 [BOSS96] 에 주었 다. 

• Little-endian 대 Big-endian 방식 : MD5 와 RIPEMD-160 은 32bit 단어 
들의 렬 로서 통보문을 해 석 하는 little-endian 방식 을 리 용한다면 SHA- 
1 은 big-endian 방식을 리 용한다. 어느 방식도 우월 한것은 없다. 


9.4 HMAC 


8 장에서 대칭블로크암호의 리용에 기초한 통보문인증부호 (MAC) 다시말하여 FIPS 
PUB 113 에서 정의된 자료인증알고리듬의 실례를 보았다. 이것은 전통적으로 MAC 를 
구성하는 가장 공통적 인 방식이 였 다. 최 근년간에는 암호학적하쉬부호로부터 유도된 
MAC 를 발전시키는데 관심 이 높아 졌다. 관심 이 높아 진 동기는 다음과 같다. 

1. MD5 와 SHA-1 과 같은 암호학적하쉬함수는 일 반적 으로 DES 와 같은 대 칭블로 
크암호보다 쏘프트웨어 적 으로 고속으로 실행된다. 

2. 암호학적하쉬함수의 서 고부호를 널 리 보급한다. 

3. 암호학적하쉬함수에 대 하여 미 국 또는 다른 나라에 서 수출제 한이 없 다. MAC 로 
리용될 때도 대칭블로크암호는 제한되고 있다. 

MD5 와 같은 하쉬함수는 MAC 토서 리 용하기 위해 설계 되 지 않았으며 따라서 그 목 
적 을 위 해 직 접 리 용할수는 없다. 왜 냐하면 비밀열쇠 에 의거하지 않기때 문이 다. 존재하 
는 하쉬알고리듬에 비밀열쇠의 통합을 위한 일련의 제의들도 있었다. 최대의 지지를 얻 
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은 방식 은 HMAC 이 다(문헌 [ BELL 96 a ， BELL 96 b ]). HMAC 는 RFC 2104 토서 발행되 였고 
IP 보안을 위한 명 령 실현 MAC 를 선택 하였으며 SSL 과 같은 다른 인터 네트규약으로 리 용 
되고 있다. 

■C 설계대상 

RFC 2104 는 HMAC 을 위한 다음과 같은 설계 대 상들을 렬거 한다. 

• 변경없 이 리용하기 위하여 하쉬함수를 허 용한다. 특히 쏘프트웨어 적 으로 잘 진 
행되며 부호가 자유롭고 널리 허용되는 하쉬함수 

• 매 장된 하쉬함수의 쉬 운 재 배 치 성 을 허 용하기 위하여 고속 또는 안전한 하쉬함 
수들이 경우에 따라 발견되거나 요구된다. 

• 유효한 회 화를 초래 함이 없 이 하쉬함수의 원래 의 성 능을 보존하기 위하여 

• 간단한 방법 으로 열쇠를 리 용하고 조종하기 위하여 

• 매 장된 하쉬함수에 대 한 적 당한 가정 에 기 초하여 인증기 구의 강도가 잘 리해 되 
는 암호학적 분석 을 가지 기 위하여 

첫 두 대상은 HMAC 의 접 수성 에서 중요하다. HMAC 는 하쉬 함수를《검은 통》으 
로 취 급한다. 이것 은 2개의 우점 을 가진다. 우선 하쉬함수의 존재하는 실현을 HMAC 를 
실현하는데 서 모둘로 리 용할수 있 다. 이 방법 에 서 HMAC 부호의 크기 는 미 리 준비되 여 
있어 변경없이 리용하기 쉽다. 다음으로 HMAC 실현에서 주어 진 하쉬함수를 재배 치 하 
기 를 바란다면 그모두는 존재하는 하쉬함수모둘을 제 거 하고 새 로운 모둘을 받아 들이 는 
것 이 다. 이 것은 고속하쉬함수를 요구할 때 진행된다. 보다 중요하게는 매 장된 하쉬함수 
의 보안이 손상되 였다면 HMAC 의 보안은 매장된 하쉬함수를 보다 안전한것으로 재배 치 
함으로써 (즉 MD 5 를 RIPEMD -160 으로 교체 함으로써) 단순하게 유지될수 있는것 이 다. 

우의 렬거에서 마지막설계대상은 사실상 다른 제기된 하쉬기초방식우에서 HMAC 의 
주요우점 이 다. 매 장된 하쉬함수가 적 당한 암호학적강도를 가진다는 전제 하에 서 HMAC 
를 안전하게 증명할수 있다. 이 절에서 는 후에 이 점 을 취급하지 만 우선 HMAC 의 구조 
를 설 명한다. 

HMAC 알고리듬 

그림 9-10 은 HMAC 의 전면적 인 조작을 보여 준다. 다음과 같은 표시 들을 정 의한다. 

H ： 매 장된 하쉬함수(즉 MD 5, SHA -1, RIPEMD -160) 

M ： HMAC 에 로의 통보문입 력(매 장된 하쉬함수안에 서 서 술된 메 꾸기 를 포함) 

Yi ： 보의 i 번째 블로크，0 < / < L -1 
L ： 보안에서 블로크수 
b ： 블로크안에서 비트수 

n ： 매 장된 하쉬함수에 의해 생성된 하쉬부호의 길 이 

K ： 비밀열쇠 로서 열쇠길이 가 보다 크면 열쇠는 ra bit 열쇠를 생성해 내는 하쉬함수 
에 로의 입 력 이며 요구되는 길이는 > n 이 다. 

K +: 결과가 b bit 가 되도록 왼쪽에 령을 메꾼 K 
ipad ： fc /8 번 반복된 00110110 
opad ： 6/8번 반복된 01011010 
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HMACk(M) 


그림 9-10. HMAC 구조 


I '-I I 


이때 HMAC 를 다음과 같이 표현할수 있다. 

HMAC k = H [( K + 田 opad ) II h [( K + 田 ipad ) 11 M ] 

달리 말하여 

1. K 의 왼쪽 끝에 령을 첨 가하여 bbit 렬 K + 를 창조한다(즉 K 가 길이 160 bit 이고 
ft =512 이 면 K 는 44개 령바이 트 0 x 00 으로 보충될것이 다) . 

2. K +와 opad 를 배타적론리합하여 bbit 블로크 S ! 를 생성해 낸다. 

3. M 을 벼에 첨 가한다. 

4. H 를 단계 3에서 생성된 흐름에 적용한다. 

5. K +와 opad 를 배타적론리합하여 fcbit 블로크、을 생성해 낸다. 

6. 단계 4부터의 하쉬결과를 S 0 에 첨 가한다. 

7. H 를 단계 6에서 생성된 흐름에 적 용하여 결과를 출력한다. 

ipad 와의 배 타적론리합은 K 의 비트들을 절반으로 조개여 나타난다는것을 강조한다. 
마찬가지 로 opad 와의 배 타적 론리합은 K 의 비 트들을 절 반으로 조개 여 나타나지 만 비 트 
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으로 치환한다. 이 실현은 오직 하나의 압축함수의 보충적인 실체를 하쉬함수에 의해 표 
준적으로 생성된 처리에 첨가한다. 이보다 효과적인 실현은 MAC 를 계산하는 대부분의 
통보문들이 짧다면 특별히 가치가 있다. 

■C 의 보안 

매장된 하쉬함수에 기초한 임의의 함수의 보안은 기본적인 하쉬함수의 암호학적강도 
에 대 한 몇 가지 방법 에 의 거한다. HMAC 의 흥미 를 끌게 한것 은 그 설 계 가들이 HMAC 
의 강도와 매 장된 하쉬함수의 강도사이 의 정 확한 관계 를 증명할수 있 었 다는것 이 다. 

MAC 함수의 보안은 일반적으로 위조자와 같은 열쇠로 창조된 통보문- MAC 쌍의 주 
어 진 수에 의해 소비 된 주어 진 시 간량으로 성 과적 인 위 조확률에 의 해 표현된 다. 본질 
에 있어서 주어 진 효과수준(시간, 통보문- MAC 쌍)에 대하여 정당한 사용자와 공격자에 
의하여 HMAC 에 대 한 성 공적 인 공격 의 확률은 매 장된 하쉬함수에 대 한 다음과 같은 공 
격들중의 하나와 동등하다. 

1. 공격 자는 우연적 이고 안전(비 밀 ) 하며 공격 자에 게 는 알려 지 지 않은 IV 와 압축 
함수의 출력을 계산할수 있다. 

2. 공격 자는 IV 가 우연적 이 고 안전 (비밀)할 때 하쉬함수에서 충돌을 구한다. 

첫번째 공격에서는 압축함수를 하나의 b bit 블로크로 이루어 진 통보문에 적용된 하 
쉬함수와 동등한것 으로 개 괄할수 있다. 이 공격 에 대 하여 하쉬 함수의 IV 는 비밀 이며 우 
연인 n bit 값으로 교체 된다. 이 하쉬 함수에 대 한 공격 은 2" 준위 의 효과적 인 열쇠 에 대 한 
힘 내기공격 이 나 다음에 론의하는 두번째 공격의 특수경우인 생 일공격을 요구한다. 

두번째 공격에서는 공격자가 갈은 하쉬 즉 H ( M )= H ( M ') 를 내보내는 두 통보문 
M 과 M ' 를 보고 있다. 이것이 8장에서 론의한 생일공격이다. 이것은 n 의 하쉬길이에 
대하여 2" /2 의 효과준위를 요구한다는것을 보여 준다. 이 기초에서 MD 5 의 보안은 질문 
이 제기된다. 왜냐하면 2 64 효과준위는 오늘날 기술적으로 실행가능하기때문이다. 이것은 
MD 5 와 같은 128 bit 하쉬 함수는 HMAC 에 대 하여 적 합치 않다는것 을 의 미 하는가? 그에 
대 한 대 답은 부정 적 이 다. 왜 냐하면 다음과 갈은 론의 때 문이 다. MD 5 를 공격 하기 위 하여 
공격자는 임의의 통보문들의 모임을 선택하고 비직결적으로 충돌을 구하는 편의를 계산 
하는 로출된 상태 우에 서 이 것 들을 동작시 킨다. 공격 자는 하쉬알고리 듬과 음적 IV 를 알 
고 있 으므로 자기 가 생 성하는 매 통보문에 대 한 하쉬부호를 생 성할수 있다. 그러 나 
HMAC 를 공격할 때 공격 자는 통보문/부호 쌍을 비직 결적 으로 생 성할수 없 다. 왜 냐하면 
공격 자는 K 를 모르기 때 문이 다. 그러 므로 공격 자는 같은 열쇠하에 서 HMAC 에 의해 생 
성 된 통보문들의 렬을 관찰해 야 하며 이 알려 진 통보문우에서 공격 을 진행해 야 한다. 
128 bit 의 하쉬부호길이에 대하여 이것은 갈은 열쇠를 리용하여 생성된 2 64 개의 관찰된 불 
로크 (2 73 bit ) 를 요구한다. lGbps 련결에서는 성공을 위해 약 250000년동안 열쇠에서의 변 
화없 이 련속통보문흐름을 관찰해 야 한다. 이 리하여 속도에 관계 된 다면 HMAC 에 대 한 
매 장된 하쉬 함수로서 SHA -1 이 나 RIPEMD -160 보다도 오히 려 MD 5 를 리 용하는것 이 완 
전히 접수가능하다. 
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문 제 

1. MD 5 와 MD 4 사이 의 차이 를 설명하라. 특히 MD 5 가 MD 4 보다 더 강하다고 생 각되 는 
것은 무엇이며 왜 그런가? 

2. 그림 9-7 에서는 80개의 32 bit 단어들의 배럴이 의 값을 기억 할수 있다고 가정 한다. 
따라서 블로크처리의 시작에서 미리 계산할수 있다. 이제 공간이 상금에 있다고 가 
정한다. 다른 하나의 방식 으로서 초기 에 Wo 부터 W 15 까지 를 적 재하는 16 bit 단어 순환 
완충기 의 리용을 고찰하자. 매 단계 떼 대 하여 요구된 초기 값 W , 를 계 산하는 알고 
리 듬을 설 계하시 오. 

3. SHA -1 에 대 하여 Wi 6 , Wi 7> Wi 8 , W 19 의 값을 보여 주시오. 

4. 라3 2 3 3 따가 32 bit 단어 에서의 4개 바이 트이라고 가정 하자. 매 요소를 2진으로 표현된 0 
부터 255사이의 옹근수로 고찰할수 있 다. Big-endian 방식에서 이 단어는 옹근수 

a ]2 24 + 크 22 16 + H32 8 + H4 

를 표현 한다. Little-endian 방식에서 이 단어는 옹근수 

H42 24 + + 3 . 2 ^ + 3.1 


를 표현한다. 

1) MD 5 와 RIPEMD -160 은 little-endian 방식 이 라고 가정 한다. 통보문요약이 기 본 
적 인 방식과 독립 이 라는것 이 중요하다. 그러므로 big-endian 방식우에서 mod 2 
에 관한 MD 5 나 RIPEMD -160 의 더 하기 연산을 진행 하기 위 하여 서 는 조종해 야 
한다. 이 고 라고 가정 하자. MD 5 의 더 하기연산 ( X + Y ) 

가 big-endian 기계우에서 어떻게 수행되는가를 보여 주시오. 

니 SHA -1 은 big-endian 방식 이 라고 가정 하자. SHA -1 에 대 하여 연산 (X + Y ) 가 
little-endian 기계우에서 어떻게 수행되는가를 보여 주시오. 
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제 10 장. 수자서명과 인증규약 


공개열쇠 암호학에 관한 작업에서 가장 중요한 발전은 수자서명 이 다. 수자서명은 임 
의의 다른 방법으로 실현하는것 이 힘든 보안능력들의 모임을 제공한다. 이 장에서는 수 
자서명에 대하여 개괄한다. 다음으로 수자서명의 리용에 의거한 인증규약을 본다. 최종 
적 으로 수자서 명 표준 ( DSS ) 을 도입한다. 


10.1 수자서명 


요구 

통보문인증은 임의의 제3자로부터 통보문을 교환하는 두 측을 보호한다. 그러나 호 
상간에 두 측을 보호하지는 못한다. 둘사이의 몇가지 형 태의 론쟁 ( dispute ) 이 가능하다. 

실례로 존 ( John ) 이 그림 8-4 의 방식들중의 하나를 리용하여 인증된 통보문을 마리 
( Mary ) 에게 보낸다고 가정하자. 다음과 같은 론쟁을 고찰하자. 

1. 마리 가 다른 통보문을 위 조하여 그것 이 존으로부터 왔다고 고집할수는 있 다. 존 
과 마리가 공유한 열쇠를 리용하여 간단히 통보문을 창조하여 인증부호를 첨가 
해 야 한다. 

2. 존은 통보문보내기를 부인할수 있다. 마리가 통보문을 위조할수 있으므로 존이 
사실상 통보문을 보냈 다는것 을 증명할 방도가 없 다. 

두 씨나리오는 정당한 관계에 있다. 여기에는 첫 씨나리오의 실례가 있다. 전자자금 
조달자를 취하여 수신자는 전달된 자금의 량을 증가시키고 많은 자금이 송신자로부터 보 
내 왔다고 주장한다. 두번째 씨 나리오의 실례 로 전자우편통보문에 나쁘게 전환된 업 무를 
처 리 하기 위한 주식 중매인에 대 한 지시 를 포함하는것 이 다. 송신자는 통보문을 보낸일 이 
없다고 속인다. 

송수신자사이의 완전한 신용이 없는 환경하에서는 인증보다 더 좋은것이 요구된다. 
이 문제 에 대 한 가장 매 력적 인 풀이는 수자서명 이다. 수자서명은 손으로 쓴 수표와 류사 
하다. 그것은 다음과 같은 성질들을 가져야 한다. 

• 서명한 당사자와 날자 그리고 시 간을 검증할수 있어 야 한다. 

• 서명시각에 내용이 인증될수 있어야 한다. 

• 서 명 은 론쟁 을 재 풀기 위 하여 제 3자에 의 해 검 증가능해 야 한다. 

이 리하여 수자서 명 함수는 인증함수를 포함한다. 

이 성 질에 토대하여 수자서명 을 위 해 다음과 갈은 요구를 정 식 화할수 있다. 
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• 서명은 서명할 통보문에 관계되는 비트패런이여야 한다. 

• 서명은 위조와 부인을 둘 다 방지하기 위하여 송신자에 대한 유일한 어떤 정보 
를 리용해야 한다. 

• 수자서명을 식별하고 검증하는것은 상대적으로 쉬워야 한다. 

• 존재 하는 수자서 명 에 대 해 새 로운 동보문을 구성 하거 나 주어 진 동보문에 대 해 
부정 적 인 수자서 명 을 구성 함으로써 수자서 명 을 위 조하는것 이 계 산량적 으로 불가 
능해야 한다. 

• 기억된 수자서명의 복사를 유지하는것은 실천적 이여야 한다. 

그림 8-5 의 n 또는 e 과 갈은 방식 으로 매 장된 안전한 하쉬 함수는 이 요구들을 만족시 킨다. 

수자서 명 함수에 대 하여 한가지 변종의 방식 을 제 기하였 다. 이 방식 은 두가지 부류 
즉 직접과 중재에로 귀착된다. 

직접수자서명 

직접수자서명은 통신측(원천지，목적지)들만을 포함한다. 목적지에서는 원천지의 공 
개열쇠 를 안다고 가정한다. 수자서 명 은 송신자의 비 밀 열쇠 (그림 8-1 의 n ) 로 전체 적 인 
통보문을 암호화하거나 송신자의 비밀열쇠 (그림 8-5 의 비로 통보문의 하쉬부호를 암호 
화함으로써 이루어 질수 있다. 

수신자의 공개열쇠 (공개열쇠암호)나 공유한 비밀열쇠 (전통암호)로 전체적인 통보문 
+ 서명을 암호화함으로써 기밀성을 담보할수 있다. 실례로 그림 8-1 의 5과 8-5 의 근을 
보시 오. 우선 서 명 함수를 진 행 하고 그다음에 바깥기 밀 성함수를 진행하는것 이 중요하다는 
것을 강조한다. 론쟁의 경우에 어떤 제3자가 통보문과 그 서명을 보아야 한다. 서명을 
암호화된 통보문으로 계산하였다면 제3자에게는 또한 원래의 통보문을 읽기 위해 복호화 
열쇠를 참조할것을 요구한다. 그러나 서명이 내부연산이면 수신자는 후에 론쟁해결에 리 
용하기 위 하여 평 문통보문과 그 서 명 을 기 억 시 킬수 있 다. 

지 금까지 고찰한 모든 직 접방식 들은 공통적 인 약점 을 가진다. 즉 방식 의 타당성 은 
송신자의 비밀열쇠의 보안에 의거한다. 송신자가 후에 특별한 통보문보내기를 부인하려 
고 한다면 송신자는 자기의 비밀열쇠가 분실되였거나 도적맞히였으며 어떤 사람이 자기 
의 서명을 위조하였다고 고집할수 있다. 비밀의 보안에 관계되는 행정적 인 조치를 채 용 
하여 이 런 현상을 방지하거 나 적 어도 약화시 킬수는 있지만 위협은 아직 어느 정도로 남 
아 있다. 하나의 실례 는 일부인(시 간과 날자)을 포함하는 매 서명된 통보문을 요구하며 
중심국에 손상된 열쇠를 신속히 보고할것를 요구하는것이다. 

다른 하나의 위협은 시각 T 에 X 로부터 어떤 비밀열쇠가 실제적으로 도적 맞히는것 
이다. 이때 적은 표의 서명과 T 이전시간에 도장을 찍은 서명된 통보문을 보낼수 있다. 

중재수자서명 

직 접 수자서 명 과 련 관된 문제 는 중재 인을 리 용하여 써 놓을수 있는것 이 다. 

직접수자서명에서처럼 중재서명방식의 변종이 있다. 일반항목에서 그것들은 모두 다 
음과 갈은것을 고찰한다. 송신자 X 로부터 수신자 Y 에로의 매 서명된 통보문은 우선 중 
개자 A 에게 가는데 중개자는 통보문과 그 서명을 원본과 내용을 검열하는 일련의 검사 
자의 역할을 한다. 이때 통보문에 날자를 써넣고 중개자의 만족을 표현한 내용과 함께 
구에 게 보낸다. A 의 출현은 직 접수자서명방식 에서 제 기된 문제 즉 표가 통보문을 부인할 
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수 있는 문제를 푼다. 

중개자는 이런 종류의 방식에서 신속하고 결정적인 역할을 하며 모든 측들은 중재기 
구가 적당히 동작한다는 신용이 있어야 한다. 16장에서 언급된 신용체계의 리용은 이 요 
구를 만족시 킬수 있다. 

문헌 [ AKL 83] 과 [ MITC 9 幻 에 서 언급된 씨 나리 오에 기 초한 표 10_1은 중재 수자서 명 
의 몇가지 실례를 준다. 첫째로，전통암호를 리용한다. 송신자 표와 중개자 A 는 비밀열 
쇠 K xa 를 공유하며 A 와 구는 비밀 열쇠 K ay 를 공유한다고 가정한다. 표는 통보문 M 을 
구성하고 그의 하쉬부호 H ( M ) 을 계산한다. 그다음 표는 통보문과 서명을 A 에게 전송한 
다. 서명은 표의 식별자와 K xa 을 리용하여 모두 암호화된 하쉬값으로 이루어 진다. A 는 
서명을 복호화하고 통보문을 타당하게 하는 하쉬값을 검열한다. 그다음에 A 는 K ay 로 암 
호화된 통보문을 구에게 보낸다. 통보문은 ID X ， X 로부터의 원래의 통보문，서명 그리고 
시 간도장을 포함한다. 

표 10-1. _ 중재 수자서 명기 술 _ 

_ 기 전통암호, 중개 자는 통보문을 본다. _ 

■ X — A : M || E Kxa [ ID X II H ( M )] 

S ： A ^ Y ： E Kay [ ID X || M || E Kxa [ ID X II H ( M )] || T ] 

_ 느) 전통암호，중개자는 통보문을 보지 못한다. _ 

: ^, X -> A ： ID X II E Kxy [ M ] || E Kxa [ ID X II H ( E Kxy [ M ])] 

®. ， A 구 Y : E Kay [ ID X II E Kxy [ M ] || E Kxa [ ID x II H (E Kxy [ M ]) ] || T ] 

_ c ) 공개열 쇠암호,중개 자는 통보문을 보지 못한다. _ 

If # ： X->A ： IDx II [ID x llE KUy (E^x [M])] 
j © A^Y ： [IDx II E KUy 粧 미 [M]] || T] 

주의 : X- 송신자 , Y- 수신자， A- 중개자， M - 통보문 

모는 이것을 복호화하여 통보문과 서명을 엄는다. 일부인은 이 통보문이 시기적절하며 
재 시 합이 아님 을 모에 게 통지한다. Y 는 M 과 서 명 을 기 억할수 있 다. 론쟁 의 경 우에 M 을 
X 로부터 수신하였 다고 고집하는 구는 다음과 같은 통보문을 A 에 게 보낸 다. 

E Kay [ ID X II M || E Kxa [ ID X II H ( M )]] 

중개 자는 E Kay 를 리 용하여 ID X ，M 그리 고 서 명 을 엄 으며 그다음에 E Kxa 를 리 용하 

여 서명을 복호화하고 하쉬부호를 검증한다. 이 방식에서 Y 는 직접 표의 서명을 검열할 
수 없다. 서명은 오직 거기서 론쟁만을 해결할뿐이 다. 구는 X 로부터 인증된 통보문을 
고찰한다. 왜냐하면 A 를 통해서 오기때문이다. 이 씨나리오에서 두 측면은 A 에서 높은 
기밀성을 가져야 한다. 즉 
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• 표는 K xa 가 드러 나지 않으며 E Kxa [ ID X || H ( M )] 형 태의 거 짓서 명 을 생 성 하지 않 
는다고 A 를 믿어 야 한다. 

• 구는 A 를 믿고 하쉬값이 정확하며 서명이 표에 의해 생성되였을 때에만 
E Kay [ ID X II M || E Kxa [ ID X II H ( M )] || T ] 를 보내 야 한다. 

• 두 측은 A 가 론쟁을 공정 하게 풀어 나간다고 믿어 야 한다. 

중개자가 이런 신용속에서 살면 표는 누구도 자기의 서명을 위조할수 없으며 Y 는 X 
가 자기의 서명을 부인할수 없다는것을 담보 받는다. 

앞의 씨나리오는 또한 A 는 표에서 Y 에로의 통보문을 읽을수 있으며 사실 임의의 도 
청 자도 그렇게 할수 있다는것 이 나온다. 표 10-1 의 l 은 사전에 중재를 제공하지만 역시 
기밀성을 담보하는 씨나리오를 보여 준다. 이 경우에 표와 모는 비밀열쇠 K xy 를 공유한 
다고 가정한다. 이제 표는 식별자, 또ᄍ로 암호화된 통보문복사 그리고 서명을 A 에 게 전 
송한다. 서명은 식 별자 + 모두 K xa 를 리용하여 암호화된 통보문의 하쉬값으로 이루어 진 
다. 사전에 A 는 서명을 복호화하고 통보문을 타당하게 하는 하쉬값을 검 열한다. 이 경 
우에 A 는 오직 암호화된 통보문판과만 작업을 하며 그것을 읽는것으로부터 방지된다. 
A 는 그다음에 X 로부터 수신된 모든것 +모두 K ay 로 암호화된 일부인을 구에게 전송한다. 

통보문을 읽 을수 없다고 하더 라도 중개 자는 아직 X 나 구의 한 축우에서 협 잡을 방 
지하는 위치에 있다. 나머지 문제인 첫번째 씨나리오로 공유한 대상은 중개자가 서명된 
통보문을 부인하는 송신자 또는 송신자의 서명을 위조하는 수신자와 함께 동맹을 형성할 
수 있 다는것 이 다. 

론의된 모든 문제들은 공개된 방식 으로 진행 함으로써 해결할수 있는데 그 한가지를 
표 10-1 의 도에서 보여 준다. 이 경우에 표는 우선 표의 비밀열쇠 KR X 토，그다음에는 Y 
의 공개열쇠 KU y 로 통보문 M 을 2중암호화한다. 이것은 서명된 통보문의 비밀판이 다. 
이 서명된 통보문과 함께 표의 식별자는 다시 於及ᄅ로 암호화되며 ID X 와 함께 A 에게 보 
낸다. 2중암호화된 내부통보문은 중개 자와 구를 제외한 모두로부터 안전하다. 그러 나 A 
는 통보문이 X 로부터 와야 한다는것을 담보하는 바깥암호를 복호화한다(왜냐하면 오직 
고만이 於1匕를 가지 기 때 문이 다) . A 는 표의 공개 열쇠 /비 밀 열쇠 가 아직 타당하다는것 을 믿 
도록 검 열하며 그렇 다면 통보문을 검 증한다. 그다음에 A 는 於：心로 암호화된 통보문을 
Y 에게 전송한다. 통보문은 ID X , 2중암호화된 통보문 그리고 일부인를 포함한다. 

이 방식 은 선행한 두 방식 들에 비 하여 일 련의 우점 을 가진다. 우선 속히 워 서 빼 앗기 
는것을 방지하기 위해 통신하기전에 통신측들중에서 어떤 정보도 공유하는것이 없다. 둘 
째로 KR X 가 손상되였다고 할지라도 KR a 가 손상되지 않았다면 부정확한 날자가 찍힌 통 
보문을 보낼수 없다. 최종적으로 표에서 Y 에로의 통보문내용은 A 로부터 비밀이며 그 누 
구에 게 도 역 시 그러하다. 


10.2 인증규약 

8장에서 서술된 기 본도구는 10.1 에서 론의 한 수자서명을 포함하는 여 러 가지 응용에 
리용된다. 다른 리용도 아주 많으며 계속 보충되고 있다. 이 절에서는 두개의 일반적인 
분야(호상인증과 한방향인증)에 집중하며 이 두 분야에서의 인증의 몇가지 따름을 설명 
한다. 
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호상인증 

중요한 인증분야는 호상인증규약이 다. 이런 규약은 통신측들이 매개 다른 신원들을 
호상 만족시키 여 대 화열쇠 를 교환하게 할수 있게 한다. 이 런 취지 를 5.3( 전통기 술)과 
6.3( 공개열쇠기술)에서 설명하였다. 거기서 론의의 중심은 열쇠배포였다. 여기서는 보다 
광범한 인증의 고찰에 로 돌아 온다. 

인증된 열쇠교환에서 중심문제는 두개의 론의점 즉 기밀성과 시기적절성 ( timeliness ) 
이다. 대화열쇠의 가짜와 손상을 방지하기 위하여 본질적인 식별과 대화열쇠정보는 암호 
화된 형태로 통신되여야 한다. 이것은 이 목적을 위하여 리용될수 있는 선행한 비밀 또 
는 공개열쇠의 존재를 요구한다. 두번째 발행인 시기적절성은 통보문재시동의 위협때문 
에 중요하다. 이런 재시동은 최악의 경우에 대화열쇠를 손상시키거나 적이 다른 측을 성 
과적 으로 재 현하는것 을 허 용한다. 최 소한도로 성 과적 인 재 시동은 진짜인것 처 럼 보이 지 만 
그렇지 않은 측들을 표현함으로써 연산을 분렬시킬수 있다. 

문헌 [ GONG 93] 에서는 다음과 같은 재시동공격의 실례들을 렬거하였 다. 

• 단순재 연 : 적은 단순히 통보문을 복사하여 그것을 후에 재 연한다. 

• 사용개시될수 있는 반복: 적은 타당한 시간창문내에서 일부인된 통보문을 재연할 
수 있다. 

• 검출될수 없는 반복: 원래의 통보문이 억제되여 그 목적지에 도착하지 못하고 아 
직 재 연통보문만이 도착하므로 이 런 상황이 발생한다. 

• 변경없이 반대로의 재연: 이것은 통보문송신자에게 반대로 재연하는것 이 다. 전통 
암호를 리용하고 송신자가 보낸 통보문과 내용의 기초우에서 수신된 통보문사이 
의 차이를 쉽게 식별할수 없으면 이 공격은 가능하다. 

재 연공격 을 처 리하는 한가지 방식 은 인증교환에 리용되 는 매 통보문에 렬 번호를 붙 
이는것 이 다. 그 렬번호가 적 당한 순서 에 있을 때만 새 통보문을 접수한다. 이 방식의 어 
려움성은 취급된 매 청구자의 마지막렬번호를 따라 가는 모든 측을 요구하는것이다. 이 
간접소비 ( overhead ) 때문에 렬번호는 일반적으로 인증과 열쇠교환에 리용되지 않는다. 
그대 신에 다음과 갈은 두 방식중의 하나를 리용한다. 

• 일부인: A 측은 통보문이 자기의 판단으로 자기의 현 시점의 지식에 충분히 가까 
운 일부인을 포함할 때 만 통보문을 참신한것 으로 접 수한다. 이 방식 은 각이한 참 
가자들이 박자를 동기화할것을 요구한다. 

• 도전/응답: B 로부터 참신한 통보문이 기 를 기 대하는 A 측은 우선 B 에게 림시적 인 
것 (도전)을 보내 며 B 로부터 수신된 그다음의 통보문(응답)은 정 확한 림시적 인 
값을 포함할것을 요구한다. 

일부인방 식은 이 기술의 고유한 어려움성으로 하여 련결지향응용에는 리용되지 않 
을것 이 라고 주장하고 있다(즉 문헌 [ LAM 92 a ]). 우선 일정 한 종류의 규약들이 여 러 가지 
처 리기박자들중에서 동기화를 관리하는데 요구된다. 이 규약은 망오유에 잘 처 리되는 묵 
인 한 결 점 (fault tolerant ) 과 적 대 적 인 공격 에 잘 처 리 되 는 안전 한 결점 을 둘 다 겸 비 해 
야 한다. 다음으로 통신측들중 하나의 박자기구에서 결점으로부터 나타나는 동기화의 림 
시적손실 이 있다면 성공적 인 공격의 기회 가 발생할것 이 다. 마지 막으로 망지 연의 변수와 
예 언불가능한 속성때문에 배송된 박자가 정 확한 동기화를 관리 한다고 기대 할수 없다. 그 
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러므로 임의의 일부인기초절차는 충분히 큰 시간창문에 대하여 공격기회를 최소화하는 
충분히 작은 망지연을 적응시키는것을 허용해 야 한다. 

다른 한편 도전-응답방식은 련결 없는 류형의 응용에 적합하지 못하다. 왜냐하면 그 
것은 련결 없는 처리의 주요특성을 효과적으로 부정하는 임의의 련결 없는 전송전에 핸 
드쉐 이 크 ( handshake ) 의 간접 소비 ( overhead ) 를 요구하기 때 문이 다. 이 런 응용에 대 하여 
동기 화에서 박자를 유지 하도록 하는 매 측에 의 한 일정한 종류의 안전한 시 간봉사기 와 
모순이 없는 시도에 대한 믿음성은 가장 좋은 방식일수도 있다(즉 문헌 [ LAM 92 b ]). 

전통암호방식 

5. 3에 서 론의한바와 같이 전통암호화열쇠 의 2수준계 층을 리 용하여 배 송된 환경하에 
서 통신의 기 밀성 을 담보할수 있다. 일 반적 으로 이 방략은 신용 있는 열쇠배 포센터 
( KDC ) 를 리용한다. 망에서 매 통신측은 KDC 와 함께 주열쇠라고 알려 진 비밀열쇠를 
공유한다. KDC 는 대화열쇠로 알려 진 두 측사이를 짧은 시간동안에 련결하는데 리용되 
는 열 쇠 를 생 성 하는데 적 합하며 배 송을 보호하는 주열 쇠 를 리 용하여 이 런 열 쇠 들을 배 송 
하는데 적합하다. 이 방식은 매우 공통적이다. 실례로 11장의 커버로즈 ( Kerberos ) 체계 
를 보자. 여기서의 론의는 커버로즈기구를 리해하는데 관계된다. 

그림 5정는 5장에 서 언급된바와 같이 니 드함 ( Needham ) 과 스코레 더 ( Schroeder ) 
[ NEED 78] 가 최 초에 제 안한 인증기 능을 포괄하는 KDC 를 리 용하여 비밀 열쇠 를 배 송하 
는것을 보여 준다. 이 규약을 다음과 같이 개괄할수 있다(다음과 갈은 표식을 리용한다. 
P 가 통보문 M 을 Q 에 게 보내 는 통신단계 를 P 나 Q : M 으로 표시한다) . 

1. A 나 KDC : ID a II ID b II N x 

2. KDC 나 A : E Ka [ K s IIID B II Ni || E Kb [ K s IIID A ]] 

3. A — B : E Kb [ K s || ID a ] 

4. B 규 A : E Ks [ N 2 ] 

5. A 나 B : E Ks [ f ( N 2 )] 

비밀열쇠 또 3 와 K b 를 A 와 KDC , B 와 KDC 사이에 각각 공유한다. 규약의 목적은 
대화열쇠를 안전하게 A 와 B 에게 배송하는것이다. A 는 안전하게 단계 2에서 새로운 대 
화열 쇠 를 엄 는다. 단계 3에 서 통보문을 복호화하므로 오직 B 만이 리해할수 있 다. 단계 
4는 K s 에 대한 B 의 지식을 반영하고 단계 5는 K s 에 대한 A 의 지식을 B 에게 담보하며 
이 것은 한번쓰기정 보 N 2 의 리용때 문에 참신한 통보문임 을 B 에 게 담보한다. 5장에서의 
론의 로부터 단계 4와 5의 목적은 일정한 류형의 재 시동공격 을 방지하는것 이 라는것 을 상 
기 하자. 특히 적 이 단계 3에서 통보문을 채 취할수 있고 그것을 재 시동한다면 이 것은 일 
정 한 방식 으로 묘에 서 조작들을 분렬 시 킬것 이 다. 

단계 4와 5의 핸드쉐 이크에도 불구하고 규약은 아직 재 연형 태의 공격 에 약하다. 적 X 
가 낡움 대화열쇠를 손상시킬수 있다고 가정하자. 분명히 이것은 적이 단순히 단계 3을 
관찰하고 기록하는것보다 더 적합하지 못한 출현이다. 그럼에도 불구하고 이것은 잠재적 
인 보안위험이다. 표는 A 인체하면서 단순히 단계 3을 재연함으로써 낡은 열쇠를 리용하여 
묘를 속일수 있다. 만일 B 가 A 와 함께 리용된 선행한 모든 대화열쇠들을 수시로 기억하지 
않는다면 묘는 이것 이 재시동임 을 결정할수 없다. Of 단계 4에서 핸드쉐 이크통보문을 가 
로챌수 있다면 C 는 단계 5에서 A 의 응답인체 할수 있다. 이 점으로부터 C 는 가짜통보문 
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을 B 에게 보내고 인증된 대화열쇠를 리용하여 A 로부터 오는것처 럼 B 에게 나타난다. 

덴닝 ( Denning ) [ DENN 81， DENN 8 幻은 니 드함/스코레 더의 규약에 변경 을 가하여 이 
약점 을 극복하는것 을 제 기하였 는데 그것 은 단계 2와 3에 서 일 부인의 첨 가를 포함한다. 
그의 제의는 주열쇠 &와 K b 는 안전하다는것을 가정하고 다음과 같은 단계들로 이루어 
진 다. 


1. A 나 KDC : 

2. KDC 나 A : 

3. A 나 B : 

4. B 네: 

5. A 나 B : 


ID a || ID b 

E Ka [ K s || ID B || T || E Kb [ ID A II T ]] 
E Kfc [ K s || ID a II T ] 

E Ks _ 

E Ks [f(Ni)] 


구는 A 와 B 에 게 대 화열쇠 를 오직 생 성하기 만 하였음을 담보하는 일부인 이다. 이 리 
하여 A 와 B 는 둘 다 열쇠배포가 참신한 교환임을 안다. A 와 B 는 


| Clock-T | < ᅀ， 1 +ᅀ ，2 


임 을 검 열 함으로써 시 기 적 절 성 을 검 증할수 있 다. 여 기 서 A 하는 (A 또는 묘에 서 ) KDC 의 
박자와 국부박자사이의 평가된 표준편차이며 산 2 는 기대되는 망지연시간이다. 매 정점 
(마디점)이 일정한 표준참조원천지에 대 한 자기의 박자를 설정할수 있다. 일부인 T 는 
안전한 주열쇠를 리용하여 암호화되므로 적은 낡은 대화열쇠의 지식을 가지고 있다고 할 
지라도 단계 3의 재시동이 묘에 의해 때아닌 때에 검출될수 있으므로 계승할수 없다. 

마지 막주의 점 : 단계 4와 5는 시 초의 문헌 [ DENN 81] 에 포함되 지 않았으나 후에 첨 
가되 였 다(문헌 [ DENN 8 幻 ) . 이 런 단계 들은 B 에 서 대 화열쇠 의 수신을 확인한다. 

덴 닝 규약은 니 드함/스코레더 규약에 비 하여 보안의 높은 정 도를 제 공한것 으로 보인다. 
그러 나 새 로운것 이 발생한다. 다시 말하여 이 새 로운 방식 은 망을 통하여 동기 화되 는 박 
자에 대한 신뢰를 요구한다. 문헌 [ GONG 9 幻에서는 위험이 있다는것을 지적하였다. 이 
위험은 배송된 박자가 박자결점 또는 동기화기구에 대한 방해의 결과에 의해 동기화되지 
않을수 있다는 사실에 기초하고 있다(이런 현상이 생길수 있다. 최근년간에 불량인 소편 
들이 일 련의 를퓨터 와 다른 전자체 계 들에서 리 용되 여 날자와 시 간을 축적한다. 소편은 1 
일을 향하여 도약하는 경향을 가진다 [ NEUM 90]). 

이 문제 는 송신자의 박자가 지 향된 수신자박자보다 앞섰을 때 발생한다. 이 경 우에 
적은 송신자로부터 통보문을 가로챌수 있어서 그것을 후에 통보문의 일부인이 수신자의 
싸이트로 될 때 재시동할수 있다. 이 재시동이 바라지 않는 결과를 야기시킬것 이다. 공 
( Gong ) 은 이 런 공격 을 억 압-재 시 동공격 이 라고 하였 다. 

억압-재시동공격에 대항하는 한가지 방법은 통신측들이 정기적으로 KDC 의 박자와 
자기의 박자를 검 열하는것 이 다. 박자동기화의 요구를 피 하는 다른 또 하나의 방법은 한 
번쓰기 정 보를 리 용하여 핸드쉐 이 크규약을 신뢰하는것 이 다. 이 후자의 방법 은 수신자가 
미 래 에 선택 할 한번 쓰기 정 보는 송신 자를 예 견 할수 없기 때 문에 억 압-재 시 동공격 에 약하지 
않다. 니드함/스코레더규약은 한번쓰기정보를 신뢰하지만 본바와 같이 다른 약점을 가진다. 

문헌 [ KEHN 92] 에서는 억 압-재 시동공격 에 응답하는 하나의 시 도를 만들었으며 갈은 
시 각에 니 드함/스코레더 규약에 서 이 문제 를 고정하였 다. 계 속하여 이 후자의 규약에서 
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모순성 이 강조되 였 고 개 선된 방략이 문헌 [ NEUM 93 a ] 에 서 제 기 되 였 다 (이 런 것 을 정 확하 
게 엄는것은 정말로 힘들다). 규약은 다음과 같다. 


1. A 나 B : 

2. B 나 KDC : 

3. KDC 나 A : 

4. A 나 B : 


ID a || N a 

ID b II N b || E Kfe [ ID a || N a || T b ] 

E Ka [ ID b II N a || K s II T b ] II E Kfe [ ID A II K s II T b ] || N b 
E Kb [ ID a II K s II T b J ][ E Ks [ N b ] 


다음과 같이 단계별로 이 교환을 따르자. 

1. A 는 한번쓰기정보 자 3 를 생성하고 N a + 평문에서의 B 에 대한 식별자를 보냄으로 
써 인증교환을 초기화한다. 이 한번쓰기정보는 A 에서 그의 시기적절성을 담보 
하면 대화열쇠를 포함하는 암호화가 통보문에서 A 에 게로 귀환될것 이 다. 

2. 묘는 대화열쇠가 요구된다고 KDC 에 경보를 울린다. KDC 에서 그의 통보문은 
그 식 별자와 한번쓰기정보 N b 를 포함한다. 이 한번쓰기정보는 B 에게 로 귀환될 
것 이 다. KDC 에서 묘의 통보문 역 시 묘와 KDC 에 의하여 공유된 비밀열쇠 로 암 
호화한 블로크를 포함한다. 이 블로크를 리용하여 A 에게 증명서를 발행하는 
KDC 에 게 지 시한다. 그리 고 그 블로크는 지 향된 증명 서 의 수신자，증명 서 에 제 
의된 유효시 간과 A 로부터 수신된 한번쓰기정보를 서술한다. 

3. KDC 는 묘의 한번쓰기정보와 B 가 KDC 와 공유한 비밀열쇠로 암호화된 블로크를 
A 에 게 통과시 킨다. 블로크는 보게 되 는바와 같이 그다음의 인증을 위해 A 가 
리용할수 있는《표》토서 종사한다. KDC 는 또한 A 에게 A 와 KDC 에 의해 공 
유된 비밀열쇠로 암호화한 블로크를 보낸다. 이 블로크는 B 가 A 의 초기통보문 
( ID b ) 을 수신 하고 이 것 이 시 기 적 절 한 통보문이 지 만 재 시 동 ( N a ) 은 아님 을 검 증 
하며 이것은 A 에 게 대화열쇠 ( Ks ) 와 그 리용에 관한 시간한계 ( T b ) 를 제공한다. 

4. A 는 표를 B 의 한번쓰기정보，대화열쇠로 암호화된 후자와 함께 B 에게 전송한 
다. 표는 한번쓰기정보를 얻기 위해 E Ks [ N b ] 를 복호화하는데 리용되는 비밀열 
쇠를 가진 묘를 제 공한다. B 의 한번쓰기정보가 대화열쇠 로 암호화된 사실은 통 
보문이 A 로부터 왔으며 재시동이 아니라는것을 인증한다. 

이 규약은 A 와 묘가 안전한 대 화열쇠 를 가지 고 대 화를 확립하는 효과적 이 고 안전한 
수단을 제공한다. 더 나아가서 규약은 반복적으로 인증봉사기와 접속할 필요성을 피하면 
서 B 에 게 다음번 인증에 리용될수 있는 열쇠의 소유에 서 A 를 떼 낸 다. A 와 B 가 앞에 
서 언급한 규약을 리용하여 대화를 확립하고 그다음에 그 대화를 결론짓는다. 그다음에 
는 규약에 의해 확립 된 시 간한도내 에 서 A 는 묘와 함께 새 로운 대 화를 요구한다. 다음과 
갈은 규약이 발생한다. 


1. A 나 B : E Kfe [ ID a II K s II T §. : N’ a 

2. B — A : N ’ b ， E Ks [ N ’ a ] 

3. A 나 B : E Ks [ N ；] 
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B 가 단계 1에서 통보문을 수신할 때 표가 유효기간이 넘었는가를 검증한다. 새롭게 
생성된 한번쓰기정보 N' a 와 N' b 는 재시동공격이 없다는것을 매 부분에게 담보한다. 

앞에서 언급한 모든것들에서 T b 로 서술된 시간은 묘의 박자에 관계되는 시간이 다. 
이 리하여 이 일부인은 B 가 오직 자체의 생성된 일부인만을 검 열하므로 박자를 동기화할 
것을 요구하지 않는다. 

공개 열 쇠 암호방식 

6장에 서 는 대 화열 쇠 배 포를 위하여 공개열 쇠암호를 리 용하는 한가지 방식 을 제 기하였 
다(그림 6-15). 이 규약은 쌍방중 일 방이 다른 일 방의 현재 공개 열쇠 를 소유하는것 을 가 
정한다. 이 가정 을 요구하는것 은 실 천적 이 못될수도 있 다. 

일부인을 리용하여 한가지 규약을 문헌 [ DENN 81] 에서는 다음과 같이 제공하였다. 

1. A 나 AS : ID a II ID b 

2. AS 나 A : [ID a II KU a II T] || [ID B II KU b || T](. 

3. A 나 B : [ID a II KU a II T] || [ID B II KU b || T] || E KUb [ E ^ [Ks II T]] 

이 경우에 중심체계를 인증봉사기 ( AS ) 라고 한다. 왜 냐하면 비밀열쇠배포를 위해서 
는 실제 적 으로 적 합하지 못하기 때 문이 다. 오히 려 AS 는 공개열쇠확인을 담보한다. 대 화 
열쇠를 선택하고 A 로 암호화한다. 따라서 AS 에 의해 적발될 위험은 없다. 일부인은 손 
상된 열쇠의 재시동으로부터 보호된다. 

이 규약은 조밀하지만 앞에서처럼 박자의 동기화를 요구한다. 우 (Woo) 와 람 ( Lam ) 
의 문헌 [ W 0092 a ] 에 의 해 제 안된 다른 한가지 방식 은 한번쓰기 정 보를 리용하는것 이 다. 
이 규약은 다음과 같은 단계들로 이루어 진다. 

1. A 나 KDC : ID a || ID b 

2. KDC 나 A : E KR auth C id b II KU b ] 

3. A 나 B : E KUfe [ N a II ID a ] 

4. B ^ KDC : ID b IIID A || E [ N a ] 

5. KDC ^ B : E 미때 [ ID a II KU a | jl ， E KUb [ E 띠때 [ N a || K s IIID B ] ] 

6. B 나 A : E KUa [ E [ N a || K s IIID B ] || N b ] 

7. A 나 B : E Ks [ N b ] 

단계 1 에서 A 는 B 와의 안전한 련결을 확립하는데 로 지 향된 KDC 에 게 통지한다. 
KDC 는 묘의 공개열쇠확인의 복사를 A 에 게 돌려 준다(단계 2). 묘의 공개열쇠 를 리 용하 
여 A 는 B 에게 한번쓰기정보 1、를 통신하여 보낼것을 통지한다(단계 3). 단계 4에서 B 
는 A 의 공개열쇠확인을 위해 KDC 에 게 부탁하여 대 화열쇠 를 요구한다. 그리 고 B 는 A 
의 한번쓰기정보를 포함하므로 KDC 는 그 한번쓰기정보로 대화열쇠를 일부인할수 있다. 
한번쓰기정 보는 KDC 의 공개열쇠 를 리 용하여 보호된다. 단계 5에서 KDC 는 B 에게 A 의 
공개열쇠확인의 복사 + 정 보 { N a , K s , ID B } 를 돌려 준다. 이 정 보는 기 본적 으로 K s 는 B 
의 이 름으로 KDC 에 의 해 생성 되 고 N a 에 관계되는 비밀열쇠이 라는것 을 의미한다. K s 와 
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N a 에 대 한 속박은 K s 가 참신하다는것을 A 에게 담보한다. 이 3항조는 사실상 KDC 로부 
터 온다는것을 검 증하기 위하여 B 에 게 허 용하는 KDC 의 비 밀 열쇠 를 리 용하여 암호화된 
다. 또한 묘의 공개열쇠 를 리 용하여 암호화되 여 다른 그 어 떤 실체 도 A 와 부정 적 으로 련 
결 을 확립 하기 위한 시 도에 서 3항조를 리 용하지 않을수 있 다. 단계 6에 서 여 전히 KDC 
의 비 밀 열쇠 에 의해 암호화된 3항조 { N a> K s , ID B } 는 묘에 의해 생 성된 한번쓰기 정 보 
N b 와 함께 A 에게 중계된다. 선행한 모든것은 A 의 공개열쇠를 리용하여 암호화된다. A 
는 대화열 쇠 K s 를 받아서 그것 을 리용하여 N b 를 암호화하며 그것 을 B 에 게 돌려 준다. 
이 마지 막통보문은 묘에 게 대 화열 쇠 에 대 한 A 의 지 식 을 담보한다. 

이것은 여 러 가지 공격 을 고려한 안전한 규약으로 보인다. 그러 나 저 자들자신은 결점 
을 발견하고 문헌 [ W 0092 b ] 에서 다음과 같은 알고리 듬의 개 정 판을 제 출하였 다. 


1. 

A 구 KDC: 

ID a II ID b 

2. 

KDC 구 A: 

E KR auth [ID B llKU b ] 

3. 

A 구 B: 

E KUb [Na II IDJ 

4. 

B 구 KDC: 

ID b II IDa II [N a ] 

5. 

KDC 구 B: 

EKR auth [ID a II KUJ || E 따 [N a || K s IIID A || ID B ]] 

6. 

B 구 A: 

E KUa 田대_ [N a II K s II ID a || ID b ] II 此] 

7. 

A 구 B: 

E Ks CNbl' 


A 의 식별자 ID A 는 단계 5와 6에서의 KDC 의 비밀열쇠로 암호화한 항목들의 모임에 첨 
가된다. 이것은 대화열쇠 Ks 를 대화에 의해 련결될 두 부분의 신원에 속박시킨다. 이 ID A 의 
포함은 한번쓰기정보값 N a 가 A 에 의해 생성된 모든 한번쓰기정보들에서만 오직 유일하게 
고찰되나 모든 통신측들에 의해 생성된 한번쓰기정보모두에서는 그렇지 않다는 사실을 보여 
주고 있다. 이리하여 그것은 유일하게 A 의 련결요구를 동일시하는 쌍 { ID a , NJ 이다. 

이 실례 와 앞에서 서 술된 규약에서 둘 다 안전한것 같은 규약은 보충적 인 해 석후에 
개정되였다. 이런 실례들은 인증분야에서 첫 시각에 아주 좋은것을 설정하는것은 힘들다 
는것을 강조하고 있다. 

한방향인증 

암호가 급진적으로 성장하는 한가지 응용은 전자우편이다. 전자우편의 속성과 그의 
주요우점 은 송수신자가 갈은 시 각에 직결적 으로 하는것 이 필요없다는것 이 다. 그대 신에 
전자우편통보문은 수신자의 전자우편통에로 향하는데 그것은 수신자가 그것을 읽어 낼 
때까지 완충된다. 

전자우편통보문의 《봉투》나 머리부는 분명한 곳에 있어야 하며 따라서 통보문을 
단순우편전송규약 ( SMTP ) 이나 X .400 과 갈은《기억-그리고-향하기》전자우편규약에 
의해 조종할수 있다. 그러 나 때때 로 우편조종규약은 통보문의 평 문형 태를 참조하지 않을 
것 을 바란다. 왜 냐하면 우편조종기 구를 신뢰할것을 요구하기 때 문이 다. 따라서 전자우편 
통보문은 암호화되 여 우편조종체 계 가 복호화열쇠 를 소유하지 않는다. 다음요구는 인증이 
다. 전형적으로 수신자는 통보문이 제정된 송신자로부터 왔다는것을 담보하기 바란다. 
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전통암호방식 

전통암호를 리용하여 그림 5-11 에서 보여 준 분산된 열쇠배포씨나리오는 실천적이 
지 못된 다. 이 방식 은 송신자가 지 향된 수신자에 대 한 요청 을 발행할것 을 요구하고 대 화 
열쇠를 포함하는 응답을 기다리며 오직 그때에만 통보문을 보낸다. 

일련의 세분들에 대하여 그림 5-9 로 보여 준 KDC 방략이 암호화된 전자우편에 대한 
후보자이다. 수신자(리가 같은 시각에 송신자 ( A ) 와 직결적으로 있을 요구를 피하려고 
하므로 단계 4와 5는 소거되 여 야 한다. 내용 M 인 통보문에 대 하여 렬은 다음과 같다. 

1. A 나 KDC : ID a II ID b II Ni 

2. KDC 나 A : E Ka [ K s IIID B II Ni || E Kb [ K s IIID A ]] 

3. A 나 B : E Kb [ K s || ID a ] II E Ks [ M ] 

이 방식은 오직 통보문의 지향된 수신자만이 그것을 읽을수 있다는것을 담보한다. 
이것은 또한 송신자가 A 인 인증의 준위를 제공한다. 설명한바와 같이 규약은 재시동으 
로부터 보호되지 못한다. 통보문과 일부인을 포함함으로써 몇가지 방어수단이 제공된다. 
그러 나 전자우편에 서 잠재 적 지연때 문에 이 런 일부인은 유용성 에 한계 가 있을것 이 다. 


공개 열 쇠 암호방식 

이미 기밀성 (그림 8-1 의 l ), 인증(그림 8-1 의 n ) 또는 둘 다(그림 8-1 의 e ) 에 대 
한 전체 적 인 통보문의 간단한 암호화를 포함하는 전자우편에 적 합한 공개열쇠암호방식 을 
제 기하였 다. 이 방식 은 송신자가 수신자의 공개열쇠 (기 밀성 )를 알거 나 수신자가 송신자 
의 공개열쇠 (인증)또는 둘 다(기밀성+인증)를 알것을 요구한다. 그외에도 공개열쇠알고 
리듬은 긴 통보문에 한번 또는 두번 적용되 여 야 한다. 

기 밀성 이 기 본이 라면 다음과 같은것 이 더 효과적 일 것 이 다. 

A — B : E KUb [ K s ] || E Ks [ M ] 

이 경우에 통보문은 한시각 ( one - time ) 비밀열쇠로 암호화된다. A 역시 이 한시각열쇠를 
B 의 공개열쇠 로 암호화한다. 오직 B 만이 대 응하는 비밀열쇠 를 리 용하여 한시각열쇠를 
엄을수 있으며 그다음에는 그 열쇠를 리용하여 통보문을 복호화할수 있다. 이 방식은 B 
의 공개열쇠로 전체적인 통보문을 간단히 암호화하는것보다 더 효과적이다. 

인증이 기본이 라면 수자서명은 그림 8-5 에서 서술한바와 같이 다음과 같은것을 만족 
시킬수 있다. 


A 나 B : M | lE ^ [ H ( M )] 

이 방법은 A 가 후에 통보문을 보낸 사실을 부인할수 없음을 담보한다. 그러나 이 
기술은 다른 한가지 종류의 사기행위를 공개적으로 하게 한다. 보브 ( Bob ) 는 회사돈을 
보관하려고 하는 자기의 책임자 알리스 ( Alice ) 에게 보낼 통보문을 구성한다. 그는 자기 
의 서명을 보증하며 그것을 전자우편체계에 보낸다. 결국 통보문은 알리스의 우편통에 
전달될것이다. 그러나 막스 ( Max ) 가 보브의 의도를 알고 전달하기전에 우편렬들에 대한 
참조를 얻는다고 가정하자. 그는 보브의 통보문을 구하여 그의 서명을 벗기여 내고 그를 
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보증하여 알리스에게 전달될 통보문을 재정돈한다. 막스는 보브의 의도에 대한 신용을 
얻 는다. 

이런 방식에 대항하기 위하여 통보문과 서명을 둘 다 수신자의 공개열쇠로 다음과 
같이 암호화할수 있다. 


A ^ B ： E KUfe [M II [ H ( M )]] 

마지막 두 방식은 묘가 A 의 공개열쇠를 알고 그것이 시기적절함을 확신할것을 요 
구한다. 이 담보를 제 공하는 효과적 인 하나의 방법 은 6장에 서 론의 한 수자확인 이다. 
이 제 는 


A 나 B : M II EKR a [ H ( M )] || EKR as [T || ID A II KU a ] 


이다. 

통보문외에도 A 는 B 에게 A 의 비밀열쇠로 암호화된 서명과 인증봉사기의 비밀열쇠 
로 암호화된 A 의 확인을 보낸다. 통보문의 수신자는 우선 확인을 리용하여 송신자의 공 
개 열쇠 를 얻 어 서 그것 이 인증된다는것 을 검 증한 다음에 는 공개 열쇠 를 리 용하여 통보문자 
체 를 검 증한다. 기 밀성 이 요구되 면 전체 적 인 통보문을 B 의 공개열쇠 로 암호화할수 있 다. 
다른 한가지 방법으로서 전체적인 통보문을 한시각비밀열쇠로 암호화할수 있다. 그리고 
비밀열쇠 역 시 전송되 고 B 의 공개열쇠 로 암호화된다. 이 방식 을 12장에서 설명한다. 


10.3 수자서명표준 

국가표준 및 기술연구소 ( NIST ) 는 수자서명표준 ( DSS ) 으로 알려 진 련방정보처 리표 
준 FIPS PUB 186을 발표하였 다. DSS 는 9장에 서 묘사한 안전 한 하쉬알고리 듬 ( SHA ) 을 
리용하여 새 로운 수자서 명기 술인 수자서 명알고리 듬 ( DSA ) 을 제 기하였 다. DSS 는 원래 
1991년에 제기되였으며 방식의 보안에 관련되는 공개적인 반결합에 응답하여 1993년에 
수정되였다. 그후 1996년에 좀 더 개정되였다. 

DSS 방식 

DSS 는 수자서명함수만을 제공하도록 설계된 알고리듬을 리용한다. RSA 와는 달리 이 
것은 암호화나 열쇠교환에 리용될수 없다. 그럼에도 불구하고 이것은 공개열쇠기술이다. 

그림 10-1 은 수자서 명 을 생 성하기 위한 DSS 방식 과 RSA 를 리 용한 방식 을 대 비한다. 
RSA 방식 에 서 는 서 명 되 는 통보문이 하쉬 함수에 입 력 되 여 고정 길 이 의 안전한 하쉬 부호를 
생성해 낸다. 그다음 이 하쉬부호는 서명을 형성하는 송신자의 비밀열쇠를 리용하여 암 
호화된다. 다음에 통보문과 서명은 둘 다 전송된다. 수신자는 통보문을 취하여 하쉬부호 
를 생성 해 낸다. 수신자는 또한 송신자의 공개열쇠 를 리 용하여 서명 을 복호화한다. 계산 
된 하쉬부호가 복호화된 서명과 정합되면 서명을 타당한것으로 접수한다. 오직 송신자만 
이 비밀열쇠를 알고 있으므로 송신자만이 타당한 서명을 생성해 낼수 있을것이다. 
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l ) DSS 방식 


그림 10-1. 수자서명에 대한 두가지 방식 


DSS 방식도 역시 하쉬함수를 리 용한다. 하쉬부호는 이 특별한 서명 에 대 하여 생성된 
우연수 k 와 함께 서명함수에로의 입력으로서 주어 진다. 서명함수 역시 송신자의 비밀 
열쇠 (10匕)와 통신원리들의 그롭인 파라메터들의 모임에 의거한다. 하나의 대역적공개열 
쇠 ( KU G ) 를 구성하는 이 모임 을 고찰할수 있 다(매 사용자에 따라 변하는 이 런 보충적 인 
파라메터들을 허 용하는것 역시 가능하며 그래서 그것들은 사용자의 공개열쇠의 한부분이 
다. 실천에서는 대역적공개열쇠를 매 사용자의 공개열쇠와 구별하는데 리용하는것 이 더 
적 합하다). 결과는 s 와 r 로 표시 한 두개 성분들로 구성된 서명 이다. 

수신하는 말단에서 들어 오는 통보문의 하쉬부호를 생성한다. 이것+서명이 검증함수 
에로의 입구로 된다. 검증함수 역시 송신자의 공개열쇠 ( KU a ) 는 물론 대역적공개열쇠에 
의거하는데 이것은 송신자비밀열쇠와 함께 쌍을 이룬다. 검증함수의 출력은 서명이 타당 
하면 서명성분 r 와 갈은 값이다. 서명함수는 오직 비밀열쇠의 지식을 가진 송신자들만이 
타당한 서명을 생성 해 내는 함수이다. 

이제 이 알고리듬을 구체적으로 보자. 

수자서명알고리듬 

DSA 는 리 산로그계 산의 어 려 움성 에 기 초하고 있으며 (7 장을 보시 오) 엘 가말의 문헌 
[ ELGA 85] 과 스츠노 ( Schnorr ) 의 문헌 [ SCHN 91] 에 의 해 최 초에 제 안된 방식 에 기 초하 
고 있다. 
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이런 수들을 가지고 매 사용자들은 비밀열쇠를 선택하고 공개열쇠를 생성한다. 비 
밀열쇠 는 1부터 나- 1) 사이의 수이여 야 하며 우연적으로 또는 준우연적으로 선택될것 
이 다. 공개열쇠 를 비 밀 열쇠 로부터 y = g x mod pS , 계 산한다. ；C 가 주어 졌을 때 );의 계산 
은 상대 적 으로 간단하다. 그러 나 공개 열쇠 3；가 주어 졌을 때 mod P 에 관하여 밑수 g 
에 대한의 리산로그인 ；<：를 결정하는것이 계산량적으로 불가능할것 이라고 믿는다 (7 장을 
보시오). 

서명을 창조하기 위하여 사용자는 2개의 량 r 와 s 를 계산하는데 이것들은 공개열쇠 
성분 ( p , q , g ), 사용자의 비밀열쇠나)，통보문의 하쉬부호 H(M) 그리고 보충적인 옹근 
수 쇼에 관한 함수로서 요는 우연 또는 준우연적으로 생성되며 매 서명에 대해 유일하다. 

수신하는 말단에서 검증은 그림 10-2 에서 보여 준 공식을 리용하여 진행된다. 수신 
자는 공개열쇠성분，송신자의 공개열쇠 그리고 들어 오는 통보문의 하쉬부호에 관한 함 
수인 량 구를 생성한다. 이 량이 서명의 성분 r 와 정 합되면 서명은 타당하다. 



s = f 1 (H(M),k,x,r,q)=(k~ 1 (H(M)+xr)) mod q 
r = f 2 (k,p,q,g)=(g k mod p) mod q 


-t) 서명 



w = f 3 (s ,q)= (s ) _1 mod q 
v = f 4 (y’q’g，H(M、)，w，r )= 

= ((g H(M ' )w) mod q yr ' w mod 9 mod p) mod q 
니 검증 


그림 10-3. DSS 서명과 검증 


그림 10-3 은 서명과 검증에 관한 함수를 묘사한다. 

그림 10-3 에서 보여 준바와 같이 알고리듬의 구조는 아주 흥미 있다. 말단에서의 검 
사는 값 r 에 있다는것을 강조하게 되는데 이것은 통보문에 전혀 관계되지 않는다. 그대 
신에 r 는 A： 와 3개의 대역적공개열쇠성분에 관한 함수이다. 쇼의 (mod P 에 관한)곱하기역 
수를 통보문하쉬부호와 사용자의 비밀열쇠를 입력으로 하는 함수에로 통과시킨다. 이 함 
수의 구조는 수신자가 들어 온 통보문과 서명，사용자의 공개열쇠 그리고 대 역적공개열 
쇠 를 리용하여 ^•를 구할수 있도록 한것 이 다. 그림 10-2 나 10-3 으로부터 이 런 방식 으로 
동작하는것 은 확실 히 명 백하지 못하다. 증명 은 부록 10에 준다. 
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리산로그를 취 하는 어 려 움성 으로 하여 적 은 r 로부터 k 를 구하거 나 5로부터 ;<:를 구하 
는것이 불가능하다. 

다른 한가지 강조할것은 서명생성에서는 오직 계산량적으로 요구되는 과제가 mod 
p 에 관한 제 곱연산 /이 다. 이 값은 서 명되 는 통보문에 관계되지 않으므로 미 리 계산해 
놓을수 있다. 사실 사용자는 필 요에 따라 문서 를 서 명하는데 리용되 는 일 련의 r 의 값들 
을 미 리 계 산해 놓는다. 오직 차이 나는것 은 곱하기역 수 厂 1 을 결정하는것 이 다. 다시 일 
련의 이 값들을 미 리 계 산할수 있다. 


참고문헌 

문헌 [ AKL 83] 은 수자서 명 에 관한 고전문헌으로서 아직 많이 리 용되 고 있다. 최 근에 
는 문헌 [ MITC 9 幻 가 좋을것 이 다. 


AKL 83 Akl ， S.“Digital Signatures : A Tutorial Survey .” Computer, February 
1983. 

MITC 92 Mitchell , C -； Piper , F .； and Wild , P . “ Digital Signatures . ，’ In 
' ~| pIMM 92 a ]. 


문 제 

1. 10.2 에서는 비밀열쇠의 배송을 위하여 문헌 [ W 0092 a ] 에서 제기한 공개열쇠방식을 
개 괄하였 다. 개 정 관은 단계 5와 6에 서 11^를 포함한다. 이 개 정 판에 의하여 특별 히 
어떤 공격에 대항할수 있는가? 

2. 문제 10-1 로 귀착된 규약의 7개 단계로부터 다음과 같은 렬들을 가지는 5개 단계로 
줄일수 있다. 

1. A 나 B : 

2. B 나 KDC : 

3. KDC 나 B : 

4. B -> A ： 

5. A 나 B 

매 단계에서 전송된 통보문을 보여 주시오. 암시 : 이 규약에서 최종통보문은 원래 
규약에서의 최종통보문과 갈다. 

3. 표 10-1 의 자과 10-1 의 u 의 수자서명기술을 변경하여 수신자가 서명을 검증할수 있 
게 하시오. 

4. 표 10-1 의 도의 수자서 명 기 술을 변경하여 완전한 통보문의 3중암호화를 피 하시 오. 

5. 표 10-1 의 5 을 론의하는데 서 속임 수는 불가능하다는것 을 규정하였 다. 사실 하나의 
가능성 이 있 다. 그것 을 서 술하고 안전하게 무시할수 있는 그런 작은 신뢰 성 이 어 떻 
게 나오는가를 설명하시오. 

6. 10. 2에서 서술한 억압-재시동공격을 참고하여 

1) 통신측의 박자가 KDC 의 박자우에 있을 때의 공격실례를 드시오. 
l ) 통신측의 박자가 다른 한 측의 박자우에 있을 때의 공격실례를 드시오. 
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도전으로서 한번쓰기 정 보를 리용하는 3개 의 전형 적 인 방법 들이 있 다. N a 는 A 에 의 
해 생성된 한번쓰기정보이고 A 와 B 는 열쇠 K 를 공유하며 f ( ) 는 이런 증가함수이다. 
3개의 사용법은 다음과 갈다. 


사용법 1 

사용법 2 

사용법 3 

(1) A 구 B : N a 

(1) A 구 B : E k [ N a ] 

⑴ A — B : E k [NJ 

(2) a ^ b ： e k [ iM 1 

(2) A 구 B : N a 

(2) A ^ B ： E K [ f ( N^J 


매 사용법의 적 당한 경우를 묘사하시오. 

와트손 ( Watson ) 은 홈스 ( Holmes ) 의 일이 끝나기를 참을성 있게 기다렸다. 《홈스， 
몇가지 흥미 있는 문제들을 풀수 있나?》그는 홈스가 일을 다 끝냈을 때 물었다. 
《아，아닐세. 일상적으로 하던 화학실험대신에 나의 전자우편을 검사하고 그다음에 
한두가지 망실험을 했을뿐이야. 나에게는 지금 의뢰자가 한명밖에 없는데 난 벌써 
그의 문제를 풀었거든. 나의 기억이 틀리지 않는다면 자네가 언젠가 한번 암호기술 
도 자네의 취미중의 하나라고 말했던것같은데 . 그렇 다면 그것 이 아마 자네의 흥미를 
끌수있어.》 

《그렇기는 한데 . 홈스，난 다만 암호학에 대한 애호가일따름이 야. 그러 나 물론 
나는 그 문제에 흥미가 있어. 그게 대체로 어떤거요?》 

《내 의뢰인은 호스그래브 ( Hosgrave ) 라는 사람인데 비교적 자그마하고 경기가 
좋은 은행의 리사일세. 그 은행은 완전히 콤퓨터화되여서 망통신을 광범히 사용하지. 
그 은행은 이미 RSA 를 리용하여 자기의 자료를 보호하고 전달하는 문서들을 수자 
식 으로 서 명 하고 있 네 . 그 은행 은 지 금 자기 의 절 차들에 서 몇 가지 전환을 하려 고 하 
네 . 특히 일 부 문서 들을 다음과 같이 두명 의 서 명 자에 의하여 수자식 으로 서 명 하려 
고 하네 . 》 

자) 첫번째 서명 자는 문서를 준비 하고 서명한 다음에 그것을 두번째 서명 자에 
게 보낸다. 

두번째 서명자는 첫 단계로 문서에 첫번째 서명자가 진짜서명하였는가를 확 
인한다. 그다음 수신자뿐아니라 집단의 그 어느 사람도 두 사람이 다 서명하였다는것 
을 확인할수 있도록 문서에 자기서명을 한다. 또한 두번째 서명자만이 단계 1이 끝난 
후에 문서에 대한 서명을 확인할수 있어야 한다. 즉 수신자(또는 집단의 임의의 성원) 
가 한사람의 서명만 있는 중간단계의 문서가 아니라 두 사람의 서명이 다 있는 완성 
된 문서만을 확인할수 있게 되여야 한다. 또한 그 은행은 RSA 수자식서명을 지원하 
는 현존 모둘을 리 용하고 싶 어한다.》 

《음. 홈스， RSA 를 리용하여 어 떻게 한사람이 수자식문서 를 서명할수 있는가 
가 리해되는구만. 자네가 RSA 수자식서명의 적당한 일반화를 리용하여 호스그래브의 
문제를 풀었다고 난 추측하는데.》 

《맞았어，와트손.》샬록크 홈스가 머 리를 끄떡이 였다. 《원래 RSA 수자식서 
명은 서명자의 비밀복호화열쇠 < d > 를 가지고 문서를 암호화하는 방법으로 이루어 졌 
는데 서명은 널 리 알려 진 암호열쇠 < e > 를 리용하여 그 복호화를 통하여 임의의 사 
탐이 확인할수 있었네 . 누구나 서 명 S 가 이를 알고 있는 사람에 의하여 진행되 였다고 
확인할수 있는데 그것은 유일한 서명자라고 추측되지 . 지금 호스그래브의 문제는 그 
과정을 약간 일반화함으로써 갈은 방법으로 풀수 있네.》 

이상의 내용에서 호스그래브의 문제를 푸시오. 
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9. DSA 는 서명-생성처리가 5=0의 값으로 나타나 면 느의 새로운 값이 생성되여 서명이 
다시 계산되도록 묘사한다. 왜 그런가? 

10. DSA 를 창조하는데 리 용된 값이 손상되 면 어떤 현상이 일 어 나는가? 

11. DSS 문서 는 다음과 같은 씨 수판정 알고리 듬을 포함한다. 

(1) [비의 선택] 씨가 우연홀수라고 하자. 이때 ( w -1) 은 짝수로서 m 이 홀수인 2 a m 형 
태 로 표시될수 있다. 즉 2 a 은 ( w -1) 을 나 누는 2의 최대제곱이다. 

(2) |> 의 생성] 를 1功 < w 인 우연옹근수라고 하자. 

(3) [지 수계 산] /•=() 이 고 z = b m rnod w 로 설 정 한다. 

(4) [다 했는가?] _/=0이고 z=l 이거 나 z = w-l 이면 씨는 검사를 통과하여 씨수일수 있으 
며 단계 8에로 간다. 

(5) [완료하는가?] ，()이 고 Z =1 이 면 씨는 씨수아니 며 이 씨에 대 한 알고리 듬을 완료 
한다. 

(6) [/의 중가] y =/+ l 로 놓는다. _/•성이 면 z=z mod w 으로 놓고 단계 4에 로 간다. 

(7) [완료] 씨가 씨수아니고 이 씨에 대 한 알고리듬을 완료한다. 

(8) [다시 검사하겠는가?] 의 충분한 우연값들이 검사되였다면 w 를 씨수로 접수하 
고 알고리듬을 완료하며 그렇지 않으면 단계 2에로 간다. 

1) 알고리듬이 어떻게 동작하는가를 설명하시오. 

L ) 7장에서 론의된 밀 러-라빈검사와 동등하다는것을 보여 주시오. 

12. DSS 에 대하여 k 의 값은 매 서명에 대하여 생성되므로 같은 통보문이 서로 다른 기 
회에 두번 서명된다고 하더라도 서명은 서로 다르다. 이것은 RSA 서명에 대해서는 
참이 아니다. 이 차이의 실천적인 따름은 무엇인가? 

13. 수자서명으로 리용되는 디피-헬만에 대한 변종을 개발하려고 시도하고 있다. 여기에 
는 DSA 보다 단순하며 다음과 같이 비밀열쇠에 보충적으로 비밀함수를 요구하지 않 
는것이 있다. 


공개요소: 

q 씨 수 

a a < 公이 고 a 는 요의 원시뿌리 
비밀열쇠 : 

X X< q 
공개 열쇠 : 

Y= a x mod q 

통보문 M 을 서 명 하기 위하여 통보문의 하쉬부호 인 / z = H ( M ) 을 계 산한다. 
gcd ( ft , 厂1)=1일것을 요구한다. 그렇지 않다면 통보문에 하쉬를 첨가하고 새로운 
하쉬를 계산한다. 하쉬부호가 分-1)과 서로 소인것을 생성해 낼 때까지의 처리를 계 
속한다. 그다음에 ZXh=X mod (요- 1) 를 만족시 키는 고를 계산한다. 통보문의 서명 
은 oc z 이다. 서명을 검증하기 위 하여 사용자는 (00꾸 =( 근 modg 임을 검증한다. 

기)이 방식의 동작과정을 보여 주시오. 즉 증명처리가 서명이 타당하면 등식을 생 
성해 낸다는것을 보여 주시오. 

l ) 임의의 통보문에 대한 사용자의 서명을 위조하는 단순한 기술을 묘사함으로써 
이 방식 이 접수불가능함을 보여 주시오. 


302 



부록 10. DSS 알고리듬의 증명 


이 부록의 목적은 서명검증에서 서명이 타당하면 v = r 이라는 증명을 제공하는것이 
다. 다음과 갈은 증명은 FIPS 표준에서 나타나지만 유도담당자가 해 야 할 보충적 이 고 구 
체적 인것을 포함하는것에 기초하고 있다. 

보조정 리 1. 임 의 의 옹근수 f 에 대 하여 

if g=h ( 네 /q mod p 

then g 1 mod p=g' mod 9 mod p 

중명 : 페 르마의 정 리 (7 장)에 의 하여 h 는 p 와 서 로 소이 므로 ff— 1 mod p=l 이 다. 따라 
서 임의의 부아닌 옹근수 n 에 대하여 

g nq mod p= (h (p ~ 1)/q mod p) nq mod p 
= h ap ~ 1)/q)nq mod p 
= h (p ~ 1)n mod p 
= ((h、 1 厂 1 ) mod p) n mod p 

이 리 하여 부아닌 옹근수 „과 2 에 대 하여 

g n9+z mod p = Cg n9 g z ) mod p 

= ( (g nq mod p) ( g z mod p) ) mod p 
= g z mod p 

임의의 부아닌 옹근수 滑 f = ~ + z 로 유일하게 표시 할수 있다. 여 기서 n 과 z 는 부 
아닌 옹근수이며 0 < n < z 이 다. 그래서 z = t mod 요이 다. 따라서 결과가 나온다. 중명끝 . 

보조정리 2. 임의의 부아닌 옹근수 a 와 &에 대하여 

g( a mod 바 mod mod p = g {a+b) mod q mod p 

중명 : 보조정리 1 에 의하여 


모드산수의 규칙에 의하여 
모드산수의 규칙에 의하여 



々버 mod 11 mod p= g Urw) mod « mod p 
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중명: 정의 (그림 10-2) 에 의 하여 y = / modp 이다. 이때 


y (rw) mod q mod p= (g x mod p) (rw) mod q 

= g Mrw) modq) mod p 모드산수규칙 에 의 해 

= g (Mrw) mod 이 mod q mod p 보조정 리 1 에 의 해 
= g {xrw) mod q mod p 

중명끝 . 

보조정 리 4. 

((H(M) +xr)w) mod q=k 

중명 : 정의 (그림 10-2 ) 에 의 하여 s=a _1 (H(M) +xr)) mod 상이 다 . 또한 상는 씨 수이 
므로 상보다 작은 임의의 부아닌 옹근수는 곱하기 역수를 가진다 (7 장 ). 그러므로 (k k 1 ) 
mod 公 =1 이 다 . 이때 

(fe) mod q= (^((^(HCM) +xr)) mod 公 )) mod q 
= (aa _1 (H(M) +^ ： r)))) mod q 
= ((0 灰 _1 ) mod ((H(M) +xr) mod 公 )) mod q 
= ((H (M) +xr) ) mod q 

정의에 의하여 w = s _1 mod 상이고 따라서 (ws) mod q = 1 이다 . 그러므로 

((H(M) +xr)w) mod q= (((H(M)-f«r) mod 公 ) (w mod q)) mod q 
= (t (ks) mod ) (w mod 公 ) ) mod q 
= (kws) mod q 

= ( (k mod qj ((■) mod 公 ) ) mod q 
=k mod q 

이다 . 0 < 灰 < 公이므로 k mod q= 及이다 . 중명끝 . 

정리 : 그림 10-2 의 정의를 리용하여「씨다 . 

v=((ZV“ 2 ) mod p) mod q 정의에 의하여 

= (^ (H(M)w) mod q y (w) mod q) mod p) mod q 

= (g (H(M)w) mod q y Uw) mod q ) mod p) mod q 보조정 리 3 에 의 하여 

= ( g (H(M)w) mod q+ M mod q) mod p ) mo d q 

= ( 요 (H(MV 次 ™) mod q) mod p) mod q 보조정 리 2 에 의 하여 

= ( 요 ((H(M) 서 ，•)»，) mod q) mod p) mod q 

= Cg k mod p) mod q 보조정 리 4 에 의 하여 

=r 정의 에 의하여 

중명끝 . 
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제 3 편. 망보안실천 


제11장. 인증응용 


이 장에서는 응용준위의 인증 및 수자서명을 지원하기 위하여 개발된 일부 인증기능 
들에 대하여 소개한다. 

먼저 이전부터 널리 쓰이고 있는 봉사의 하나인 Kerberos 봉사에 대하여 고찰하고 
다음에 X. 509 등록부인증봉사를 고찰한다. 이 표준은 12 장에 서 론의하는 S/MIME 와 같 
은 다른 표준들을 지원할뿐아니 라 가장 기초적 인 등록부봉사로서 중요하다. 


11.1 KERBEROS 


Kerberos 는 MIT 의 대상과제 아데 나 (Project Athena)-2] 부분으로 개 발된 인증봉사 
이 다. Kerberos 는 다음과 같은 문제를 취급한다. 우선 사용자들이 망에 분산된 봉사기 
들의 봉사에 접근하려고 하는 열린 분산환경을 생각하자. 봉사기들은 인증된 사용자들에 
게만 접근을 국한시키며 봉사요청을 인증할수 있어 야 한다. 이 환경에서 워크스테 이션은 
망봉사들에 대한 자기의 사용자들을 정확히 확인한다고 신용할수 없다. 특히 다음의 3 가 
지 위 협 들이 존재한다. 

• 사용자는 특정의 워크스테 이션에 접근하여 그 워크스테이션에서 조작되는 다른 
사용자로 가장할수 있다. 

• 사용자는 워크스테이션의 망주소를 변경하여 다른 워크스테이션에서 보낸 요청 
이 원래의 워크스테이션에서 온것처럼 속일수 있다. 

• 사용자는 교환정보를 도청하고 반복공격을 리용하여 어떤 봉사에 대한 입구를 
엄거나 조작을 혼란시킬수 있다. 

이런 경우에 권한이 없는 사용자는 접근허가를 받지 않고도 봉사나 자료를 엄을수 
있다. Kerberos 는 매개 봉사기들에 인증규약들을 장비하기보다는 봉사기들에 사용자들 
을 인증시키 고 사용자들에 게 는 봉사기 들을 인증시키 는 중앙인증봉사기 를 제 공한다. 이 
책 에서 서술된 다른 대부분의 인증방식들과는 달리 Kerberos 는 공개 열쇠암호를 리용하 
지 않고 전통암호만을 리용한다. 

현재 두개 판본의 Kerberos 들이 일반적으로 쓰이고 있다. 그러나 아직은 판본 
4[MILL88, STEI88] 도 널리 쓰이고 있다. 판본 4 의 보안결함의 일부를 바로 잡아 창조 
한 판본 5DKOHL94] 가 인 터 네 트규격 (RFC1510) 으로서 발표되 였 다. 

이 절에 대한 소개를 Kerberos 취급법에 대한 간단한 론의로부터 시작하자. 
Kerberos 가 복잡하므로 먼저 판본 4 에서 쓰이는 인증규약부터 소개 한다.이것은 포착하 
기 힘든 보안위협들을 조종하는데 요구되는 일부 세부들을 고찰함이 없이도 Kerberos 전 
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략의 본질을 파악할수 있게 한다. 마지막으로 판본 5 를 평가한다. 

계기 

만일 사용자들에게 망접속이 없는 개인용를퓨터들이 제공된다면 사용자의 자원과 파 
일들은 매 개인용콤퓨터들을 물리적으로 안전하게 함으로써 보호할수 있다. 그대신 사용 
자들이 중심적인 시분할체계를 봉사 받을 때 그 체계는 보안을 담보해야 한다. 조작체계 
는 사용자신원 에 기 초한 접 근조종방법 들을 실 시할수 있 으며 사용자들을 확인하는데 등록 
가입 수속 (logon procedure) 을 리 용 할수 있 다. 

아직 이 씨나리오들중의 어느것도 전형적 인것으로 되지 못하고 있다. 보다 일반적 인 
것 은 사용자워 크스레 이 션 (의 뢰 기 ) 들과 분배 또는 중심 화된 봉사기 들로 구성 되 는 분배 방 
식 이 다. 

이 환경에서 보안에 대한 세가지 취급법들을 볼수 있다. 

1. 매개 개별적의뢰기에 의존하여 그 사용자들의 신원을 확인하며 매개 봉사기에 
의존하여 사용자신원 (ID) 에 기초한 보안방략을 강화한다. 

2 . 의뢰기체계 가 자기 자신을 확인할것을 봉사기들에 요구하는데 이 로써 그 사용자 
의 신원과 관련한 의뢰체계는 신용된다. 

3. 사용자에 게 는 매 개 봉사들에 대 하여 신원을 증명할것 이 요구된다. 또한 봉사기 
들도 자기 들의 신원을 증명할것 을 의뢰기 들에 요구한다. 

모든 체계들이 어떤 한개 기관의 소유로 되여 조작되는 작은 닫긴환경에서는 첫번째 
또는 두번째 방략이면 충분할것이다. 그러나 다른 를퓨터들에 대한 망련결들이 지원되는 
열린환경 에서의 세번째 취 급방법에서 는 봉사기 에 보관된 사용자정 보나 자원들을 보호할 
필요가 있다. 이 세번째 방법은 Kerberos 에 의해 지원된다. Kerberos 는 분배된 의뢰기 
/봉사기방식을 가정하고 하나 또는 그이상의 Kerberos 봉사기들을 리용하여 인증봉사를 
제 공한다. 

Keveros 에 대하여 처음으로 공개된 보고에서는 다음의 요구조건들이 지적되였다 
[STEI88]. 

• 안전성 : 망도청자는 사용자로 가장하여도 필요한 정보를 얻을수 없다. 더 일반 
적으로 Kerberos 는 적 이 약한 고리를 찾지 못할만큼 충분히 강해 야 한다. 

• 신뢰성 :접근조종에서 Kerberos 에 의존하는 모든 봉사들에 대 한 Kerberos 봉사 
의 유효성 의 부족은 곧 지 원되 는 봉사들의 유효성부족을 의 미한다. 따라서 
Kerberos 는 고도로 믿음직해야 하며 한 체계가 다른 체계를 지원할수 있는 분 
포된 봉사기방식을 리용하여야 한다. 

• 투명성 : 리상적 으로 볼 때 사용자는 통과암호를 입 력하지 않는 한 인증이 진행 
되고 있다고 생각하지 말아야 한다. 

• 중가성: 체계는 많은 의뢰기들과 봉사기들을 지원할수 있어야 한다. 이것은 모 
둘분산방식 을 제 기한다. 

이 요구조건들을 제공하는데 서 Kerberos 의 총적인 방식은 5 장에서 론의 되는 니드함 
(Needham) 과 스레 더 (Schroeder) 에 의 한 방식 [NEED78] 에 기 초한 규약을 리 용하는 제 
3 자에 의한 인증봉사인것 이 다. 이것은 의뢰 기들과 봉사기들이 Kerberos 를 믿고 그것들 
의 호상인증을 Kerberos 가 조정 한다는 의 미 에서 신용된다. 리상적 으로 인증봉사는 
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Kerberos 봉사기 그자체가 안전하면 안전하다고 말할수 있 다. 


Kerberos 판본 4 


Kerberos 판본 4 는 규약에서 인증봉사를 제공하는데 DES 를 리용한다. 총체적 인 규 
약을 보면 거기에 포함된 많은 요소들의 필요성을 밝히는것이 어렵다는것을 알수 있다. 
따라서 Project A 仕 tena 의 빌 브리 안트 (Bill Bryant) 가 사용한 방략 [BRVA88] 을 써서 
몇개의 가설적대화들에 먼저 류의하여 충분한 규약을 만든다. 매번 진행된 론의들에서는 
앞의 론의들에서 로출된 보안약점들을 막기 위하여 추가적 인 조작들을 부가한다. 

그 규약을 설명한 다음 판본 4 의 일부 다른 측면들을 본다. 

간단한 인중대화 

보호대책이 없는 망환경에서 의뢰기가 봉사기에 봉사를 신청하는 경우를 보자. 명백 
한 보안위협은 가장하는것이다. 공격자는 다른 의뢰기로 가장하여 봉사기들로부터 권한을 
부여 받지 못한 특권들을 얻을수 있다. 이 위협을 막기 위하여 봉사기들은 봉사를 요구하 
는 의뢰기들의 신원을 확인할수 있어야 한다. 매 봉사기들이 의뢰기/봉사기대화의 과제를 
떠맡을것이 요구되는데 열린환경에서 이것은 매개 봉사기들에 상당한 부담을 준다. 

다른 방법 은 모든 사용자들의 통과암호를 알고 이 것 들을 중심자료기 지 에 보관하는 
인증봉사기 를 리용하는것 이 다. 이 밖에 도 인증봉사기 (AS) 는 매 개 봉사기 와 유일 한 비 밀 
열쇠를 공유한다. 이 열쇠들은 물리적 또는 다른 안전한 방법으로 배포된다. 다음의 가 
정적인 대화를 고찰하자. 



(1) C ᅳ AS: 

IDcIlPcIlIDy 


(2) AS—C: 

Ticket 


(3) C—V: 

ID C II Ticket 


Ticket=E Kv 

[IDcIlADclIDvI^. 

C 

의뢰기 


AS 

인증봉사기 


V 

봉사기 


ID C 

◦에서 사용자의 식별자 

ID V 

V 의 식별자 


Pc 

C 에서 사용자의 통과암호 

AD C 

C 의 망주소 


K v 

AS 와 V 가 공유한 비 밀암호열 쇠 


련결 


이 씨 나리오에 서 사용자는 워 크스테 이 션에 등록가입 하고 봉사기 V 에 접 근을 요청한다. 
사용자의 워크스테이션에서 의뢰모둘 C 는 사용자의 통과암호를 요구하고 다음 AS 에 사 
용자의 ID, 봉사기의 ID 및 사용자의 통과암호를 포함하는 통보문을 보낸다. AS 는 자 
료기지를 검사하고 사용자가 자기의 ID 에 대 한 정 확한 통과암호를 제공하였는가와 이 
사용자가 봉사기 V 에 대한 접근을 허락 받았는가를 알아 본다. 만일 두가지 검사가 다 
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통과되면 AS 는 사용자가 확인된것으로 수락하고 봉사기에 이 사용자가 확인되 였다는것 
을 알려야 한다. 이 를 위해 AS 는 사용자의 ID ， 망주소 및 봉사기 의 ID 를 포함하는 증 
명 서 ( ticket ) 를 작성 한다. 이 증명서 는 AS 와 이 봉사기 가 공유한 비 밀열쇠 로 암호화된 
다. 다음 이 증명 서 를 C 에 돌려 보낸 다. 증명 서 가 암호화되 였 으므로 C 나 적 에 의해 변 
경되지 않는다. 

이 증명 서 로 C 는 V 에 봉사를 신청할수 있 다. C 는 자기 의 ID 와 증명 서 를 포함하는 
통보문을 V 에 보낸다. V 는 그 증명서를 복호하여 그 사용자 ID 가 통보문의 암호화되지 
않은 사용자 ID 와 같다는것 을 검 증한다. 만일 이 두개 가 일 치하면 봉사기 는 사용자가 
확인된것 으로 간주하고 요청한 봉사를 허 락한다. 

통보문 (3) 의 매 요소들이 중요하다. 증명서는 암호화되므로 변경 이나 위조를 막는 
다. 봉사기의 ID ( ID V ) 는 증명서에 포함되며 따라서 봉사기는 증명서를 정확히 복호했다 
는것 을 검 증할수 있 다. 이 증명 서 가 C 의 이 름으로 발행 된것 이 라는것 을 지 적 하기 위하여 
해당 ID 를 증명서에 포함시킨다. 마지막으로 AD C 는 다음의 위협을 막는다. 적은 통보 
문 (2) 에 서 전송되 는 증명 서 를 도청한 다음 이 름 ID C 를 리용하여 형 식 (3) 의 통보문을 
다른 워 크스테 이 션으로부터 전송할수 있 다. 봉사기 는 사용자 ID 와 일 치하는 정 당한 증 
명서를 받고 다른 워크스테 이션의 그 사용자에 대 한 접근을 허 락할수 있다. 이 공격을 
막기 위하여 AS 는 증명서 에 신청한 의뢰기의 망주소를 포함시 킨다. 이때 그 증명서는 
처음에 그것을 신청한 워크스테이션으로부터 전송될 때에만 정당하다. 

더 안전한 인중대화 

앞에서 본 씨 나리 오가 열린망환경 에서 인증에 대 한 일부 문제 들은 해 결 하지 만 문제 
거리는 아직 남아 있다. 특히 두가지가 중요하다. 첫째로，사용자가 통과암호를 넣기하 
는 회 수를 최 소화하는것 이 다. 매 개 증명 서 가 한번만 리 용될수 있 다고 가정한다. 만일 사 
용자 C 가 아침에 워크스테이션에 등록가입하고 우편봉사기에서 자기의 우편을 검사하려 
고 한다면 C 는 우편봉사기 에 증명 서 를 주기 위해 통과암호를 제 공하여 야 한다. 만일 C 
가 하루에 우편을 여러번 검사하려고 한다면 매번 통과암호를 재넣기할것이 요구된다. 
증명 서 들이 재 리 용가능하다고 하면 문제 가 달라 진다. 단일 등록가입 방식 에 서 워 크스테 이 
션은 우편봉사기증명서를 받은 다음 그것을 보관하고 사용자가 우편봉사기에 여러번 접 
근할 때 그것을 사용한다. 

그러 나 이 방식에서 사용자가 매번 다른 봉사를 받기 위 하여 새로운 증명서를 요구 
해 야 하는 경우가 있을수 있다. 만일 사용자가 인쇄봉사기，우편봉사기，파일봉사기 등 
에 접근하려고 한다면 매 접근의 첫 경우에 새로운 증명서가 요구되며 따라서 사용자가 
통과암호를 넣을것을 요구한다. 

두번째 문제는 앞의 씨나리오에 통과암호(통보문 1) 의 평문전송이 포함되였다는것 
이다. 도청자는 통과암호를 가로 채여 피해자에게 접근가능한 임의의 봉사를 리용할수 
있 다. 

이 추가적 인 문제 들을 해 결 하기 위하여 증명 서 -허가봉사기 ( TGS ) 라고 하는 새 로운 
봉사기 와 평문통과암호를 피 하는 방식 을 도입한다. 새 롭지 만 아직 가설 적 인 씨 나리오는 
다음과 같다. 


사용자등록가입당 한번: 

(1) C ^ AS ： ID C ||ID 物 

(2) AS ^ C ： E Kc [Tickt 방] 
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봉사의 형태당 한번: 

(3) C ^ TGS ： ID C II ID V II Ticket ^ 

(4) TGS — C : Tickety 

봉사대화당 한번: 

(5) C ^ V ： ID C II Tickety 

Ticket tgs =E K(gs [ ID C IIAD C I ID tgs || TSi || Lifefimei ] 
Ticket v =E Ky [ ID C IIAD C IID V IITS 2 1| Lifefime 2 ] 


새 로운 봉사를 위해 TGS 는 AS 에 확인된 사용자들에 게 증명 서 들을 발행한다. 따라 
서 사용자는 먼저 AS 로부터 증명서-허 가증명서 ( Ticket tgs ) 를 요청한다. 이 증명서는 의 
뢰모둘에 의하여 사용자의 워크스테이션에 보관된다. 사용자가 매번 새로운 봉사에 대한 
접 근을 요구할 때 마다 의 뢰기는 자기 자신을 확인하는 증명서 를 씨서 TGS 에 문의한다. 
그러면 TGS 는 개개의 봉사에 대 하여 어떤 증명서를 허 락한다. 의 뢰기는 매 개 봉사-허 
가증명서들을 보관하며 그것으로 개개의 봉사들이 요청될 때마다 봉사기의 사용자를 확 
인하는데 리용한다. 이 방식을 구체적으로 고찰하자. 

1. 의뢰 기는 AS 에 자기의 사용자 ID 를 TGS 봉사를 리 용하기 위한 요구를 지 적하는 
TGS ID 와 함께 보내 여 사용자의 이 름으로 된 증명 서 -허 가증명 서 를 요청한다. 

2. AS 는 사용자의 통과암호로부터 유도되는 열쇠를 암호화된 증명서로 응답한다. 
이 응답이 의뢰기 에 전달되면 의뢰기는 사용자에게 그의 통과암호를 지적하여 
열쇠를 생성하고 들어 온 통보문의 복호를 시도한다. 만일 정확한 통과암호가 
제공되면 그 증명서는 성공적 으로 복호된다. 

정 당한 사용자만이 통과암호를 알고 있으므로 그 증명서를 복호할수 있다. 즉 평문 
에 통과암호를 전송하지 않고 통과암호를 리용하여 Kerberos 로부터의 신임장을 엄는다. 
그 증명서자체는 ID ， 사용자의 망주소 및 TGS 의 ID 로 구성된다. 이것은 첫번째 씨나리 
오에 해당된다. 기본원리는 의뢰기가 여러가지 봉사-허가증명서들을 요구하는데 이 증명 
서를 리용할수 있다는것 이 다. 그러므로 증명서-허가증명서는 재리용될수 있다. 그러나 
적 이 증명서를 도청하여 그것을 리용하는 일 이 있어서는 안된다. 다음과 같은 씨 나리오 
를 고찰해 보자. 즉 적은 증명서를 도청하고 사용자가 자기의 워크스테이션을 등록랄퇴 
할 때까지 기다릴수 있다. 적은 그 워크스테이션에 대한 접근을 얻거나 피해자와 같은 
망주소를 가지 도록 가장한다. 적 은 그 증명 서 를 리용하여 TGS 를 완전히 속일 수 있 다. 
이 것을 막기 위하여 증명서는 그것 이 발행된 날자와 시 간을 가리 키는 시 간도장(시 간표시) 
과 그 증명서의 유효시간의 길이를 가리키는 생명주기를 포함한다. 따라서 의뢰기는 재 
리용가능한 증명서를 가지며 매번 새로운 봉사요구때마다 통과암호를 주지 않아도 된다. 
마지막으로 증명서-허가증명서는 AS 와 TGS 만이 아는 비밀열쇠로 암호화된다는데 방점 
이 있다. 이것은 증명서의 변경을 막는다. 그 증명서는 사용자의 통과암호에 기초한 열 
쇠 로 재암호화된다. 이것은 증명서 가 신원이 확인되 는 정 확한 사용자에 의 해서 만 복호될 


309 



수 있다는것을 담보한다. 

의뢰기가 증명서-허가증명서를 가지므로 임의의 봉사기에 대한 접근을 단계 3과 4에 
서 엄을수 있다.즉 

3. 의뢰기는 사용자의 이름으로 봉사-허 가증명서를 요청한다. 이를 위하여 의뢰기 
는 사용자의 ID ， 요구하는 봉사의 ID 및 증명서-허 가증명서를 포함하는 통보문 
을 TGS 에 전송한다. 

4. TGS 는 들어 온 증명 서 를 복호하고 자기 의 ID 에 의해 복호결 과를 검 증한다. 
TGS 는 생명주기가 끝나지 않았다는것을 확인한다. 다음 사용자 ID 와 망주소를 
들어 온 정보와 비교하여 사용자를 확인한다. 만일 사용자가 V 에 대한 접근을 
허 락 받으면 TGS 는 요청 받은 봉사에 대 한 접 근을 허 락하는 증명 서 를 발행한다. 

봉사-허가증명서는 증명서-허 가증명서와 갈은 구조를 가진다. 사실 TGS 도 봉사기 
이 므로 TGS 에 의뢰기를 확인시키 고 응용봉사기 에 의 뢰기를 확인시키는데서 같은 요소 
들이 리용된다는것을 알수 있다. 또한 증명서는 증명서시간도장과 생명주기를 포함한다. 
만일 사용자가 후에 같은 봉사에 접근하려고 하면 의뢰기는 간단히 이전에 얻은 봉사-허 
가증명서를 리용할수 있으므로 통과암호재넣기를 하지 않아도 된다. 증명서는 변경을 막 
기 위해 TGS 와 봉사기 들만이 아는 비 밀 열쇠 ( K v ) 로 암호화된다. 

마지막으로 의뢰기는 개개의 봉사-허가증명서로 단계 5에 해당한 봉사에 대한 접근 
을 얻을수 있다. 

5. 의뢰 기 는 사용자의 이름으로 봉사에 대 한 접 근을 요구한다. 이를 위하여 의뢰기 
는 봉사기 에 사용자의 ID 와 봉사-허 가증명서를 포함하는 통보문을 전송한다. 봉 
사기는 증명서의 내용들을 리용하여 확인한다. 

이 새 로운 씨 나리오는 사용자대 화당 한개 의 통과암호질 문과 사용자통과암호보호의 
두 요구를 만족한다. 

판본 4의 인중대화 

앞의 씨나리오에 의해 첫 시도에 비하여 보안은 높아 졌지만 아직 두가지 문제가 남 
아 있다. 첫 문제의 중심은 증명서-허 가증명서와 관련한 생명주기이 다. 만일 그 생명주 
기 가 매 우 짧으면(즉 분단위 ) 사용자는 자주 통과암호를 응답해 주어 야 한다. 만일 생 명 
주기가 길면(즉 시간단위) 적에게 그 증명서를 리용당할수 있는 기회를 줄수 있다. 적은 
망에 서 도청하여 증명 서 -허 가증명 서 를 복사한 다음 정 당한 사용자가 등록탈퇴 하기 를 기 
다린다. 다음 적은 정 당한 사용자의 망주소를 기만하고 단계 3의 통보문을 TGS 에 보낸 
다. 이로써 적은 정당한 사용자만이 접근할수 있었던 자원과 파일들에 대한 접근을 할수 
있게 된다. 

마찬가지 로 만일 적 이 봉사-허 가증명 서 를 획 득하여 그것 의 생 명 주기 가 끝나기전에 
쓰면 해 당 봉사에 대 한 접근을 할수 있다. 

따라서 만족시켜야 할 다음의 추가적 인 조건들을 부가할수 있다. 망봉사 ( TGS 나 응 
용봉사)는 증명서를 사용하는 사람이 바로 그 증명서를 받은 사람과 같다는것을 증명할 
수 있어야 한다. 

두번째 문제는 봉사기들이 자기를 사용자들에게 확인시킬 필요가 있을수 있다는것이 
다. 이러한 인증이 없으면 적은 봉사기에로의 통보문이 다른 곳으로 가게 하도록 구성을 
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것 이 C 와 TGS 에 대 한 대 화열쇠 라는것 을 의 미한다. 이 대 화열쇠 가 Kc 로 암호화된 통보 
문의 내부에 있으므로 그 사용자의 의뢰기만이 그것을 읽을수 있다. 같은 대화열쇠가 증 
명서에 포함되 여 있는데 그것은 TGS 만이 읽 을수 있 다. 이 리하여 대 화열쇠 는 C 와 TGS 
에게 안전하게 전달된다. 

먼저 몇가지 정보들이 대화의 첫 단계에 부가된다는것을 강조한다. 통보문 (1) 은 그 
통보문이 시기적절하다는것을 AS 가 알도록 시간도장을 포함한다. 통보문 (2) 는 C 에 접 
근가능한 형식의 증명서의 몇개 요소들을 포함한다. 이것은 C 가 이 증명서는 TGS 에 대 
한것 이 라는것을 확인하게 하며 그것의 소멸시간을 알게 한다. 

증명서와 대화열쇠로 《무장》되면 C 는 TGS 에 접근할 준비가 된다. 전과 같이 c 
는증명서에 요청된 봉사의 ID (표 11-1 의 u ) 와 통보문 (3) 을 함께 포함하는 통보문을 
TGS 에게 보낸다. 더우기 C 는 인증자를 전송하는데 그것은 C 의 사용자의 ID 와 주소 및 
시간도장을 포함한다. 재리용가능한 증명서와는 달리 인증자는 오직 한번만 리용되게 되 
며 매우 짧은 생명주기를 가진다. TGS 는 AS 와 공유한 열쇠로 그 증명서를 복호할수 
있다. 이 증명서는 사용자 C 에게 대화열쇠 Kc , tgs 가 제공된다는것을 알려 준다. 사실상 
그 증명서는 《 C 만이 Kc , tgs 를 사용할수 있다》라는것을 의미한다. TGS 는 대화열쇠를 
사용하여 인증자를 복호한다. 다음 TGS 는 증명서의 이름과 들어 온 통보문의 망주소로 
인증자의 이 름과 주소를 검 사할수 있 다. 모두 일 치하면 TGS 는 그 증명 서 의 송신자가 
그것의 진짜 주인이라는것을 확신한다. 

인증자는《시각 TS 3 에서 나는 이 결과에 의 해 Kc , tgs 를 사용한다》는것을 의미한다. 
그 증명서는 누구의 신원도 증명하지 못하며 다만 열쇠들을 안전하게 배포하기 위한 한 
가지 방법 이 라는것 을 주의 해 둔다. 의뢰기의 신원을 증명하는것 이 인증자이 다. 인증자는 
한번만 쓰이 며 짧은 생 명 주기 를 가지 므로 적 이 후날 재 연하기 위해 증명 서 와 인증자를 
둘 다 흉칠 위협은 없어 지게 된다. 

TGS 로부터의 대답은 통보문 (4) 에서 통보문 (2) 의 형식을 따른다. 그 통보문은 
TGS 와 Of 공유한 대화열쇠로 암호화되며 C 와 봉사기 V 사이에 공유된 대화열쇠， V 의 
ID 및 그 증명서의 시 간도장을 포함한다. 증명서 자체는 같은 대화열쇠를 포함한다. 

이 때 C 는 V 에 재 리용가능한 봉사-허 가증명 서 를 가진 다. 통보문 (5) 에 서 와 같이 C 
는 이 증명서를 제출할 때 인증자도 보낸다. 봉사기는 그 증명서를 복호하여 대화열쇠를 
재현할수 있으며 인증자를 복호한다. 

만일 호상인증이 요구되면 봉사기 는 표 11-1 의 통보문 (6) 에서처 럼 응답할수 있다. 
봉사기는 인증자로부터 1만큼 증가되고 그 대화열쇠로 암호화된 시간도장의 값을 돌려 
준다. C 는 이 통보문을 복호하여 증가된 시간도장을 재현할수 있다. 그 통보문이 대화 
열쇠로 암호화되였으므로 C 는 그것이 V 에 의하여 만들어 진것이라는것을 확신한다. 그 
통보문의 내용은 C 에게 이것이 낡은 응답의 재현이 아니라는것을 확인시킨다. 

마지 막으로 이 과정 을 끝내 면서 의뢰기 와 봉사기는 비밀 열쇠 를 공유한다. 이 열쇠는 
후에 둘사이 에 서 통보문들을 암호화하는데 쓰이 거 나 그러한 목적 에 서 새 로운 우연대 화열 
쇠를 교환하는데 쓸수 있다. 

표 11-2 는 Kerberos 규약의 매 요소들에 대 한 정 당성을 개괄하고 그림 11-1 은 그 동 
작을 간단히 보여 준다. 

Kerberos 범 위 와 다중커 버 리 ( Kerberi ) 

Kerberos 봉사기，여러 대의 의뢰 기들과 응용봉사기들로 구성되는 옹근-봉사 
Kerberos 환경은 다음의것을 요구한다. 
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ID C ： 

I[\g S : 
TSi： 


이 의뢰기사용자의 신원을 AS 에 <5 
AS 에 사용자가 TGS 에 대 한 접근_ 
AS 가 의뢰기 의 박자와 자기 의 박 
있게 한다. 

AS 는 증명서-허가증명서를 돌려 병 
암호화는 사용자의 통과암호에 기 
를 검증하게 하며 통보문 (2) 의 내 
의뢰 기에 접 근가능한 대화열쇠의 복- 
의퇴기와 TGS 사이에 안전한 교환을 
이 증명 서 가 TGS 를 위 한것 이 라는: 
의뢰기 에 이 증명서 가 발행된 시 간 
의뢰기에 이 증명서의 생명주기를 
TGS 에 접근하기 위하여 의뢰기 가 

L ) 증명서-허가봉사교환 

문 (3): 의뢰기는 봉사-허 가증명서 를 요청등 

ID V : TGS 에 사용자가 봉사기 V 에 대한 

Ticket tgs : 이 사용자가 AS 에 의 해 인증되 였 c 

Authenticator c ： 증명서를 확인하기 위 하여 의뢰기。 
문 (4)： TGS 는 봉사-허가증명서를 돌려 중 

E Kc , tgs ： C 와 TGS 만이 공유한 열쇠 : 통보몸 

K c tgs : 의 뢰 기 에 접 근가능한 대 화열 쇠 의 

ᄂ 인 열쇠 를 공유하지 않아도 그것극 

있 도록 TGS 에 의해 창조된 다. 





ID V : 
TS 4 : 


봉사기 V 에 접근하기 위하여 의뢰고 
사용자가 통과암호를 다시 넣지 않< 







C ) 의뢰기/봉사기인증교환 

i 문 (5) 의뢰기 는 봉사를 요구한다. 

Tickety ： 봉사기 에 이 사용자가 AS 에 의 해 인증된다는것을 보증한: 

Authenticator c ： 증명서의 정당성을 검증하기 위하여 의뢰기에 의해 생성 
호문 (6) 의뢰기에 대한 봉사기의 임의의 인증 

e Kcv : (그에게 이 통보문이 V 로부터 온것이라는것을 보증한다. 

TS 5 +1: (그에게 그것이 이전 응답의 재연이 아니라는것을 보증한다 

: ket v ： 재리용가능하므로 의뢰기가 같은 봉사기에 매번 접근 

TGS 로부터 새 증명서를 요구할 필요가 없다. 

E Kv : 증명 서 는 가로채 기 를 막기 위하여 TGS 와 봉사기 만이 이 

암호화된다. 

K c , v ： 의뢰기 에 로의 접근가능한 대 화열쇠의 복사; 인증자를 - 

쓰이며 따라서 증명서를 인증한다. 

ID C ： 이 증명 서 의 정 당한 소유자라는것 을 가리킨다. 

AD C ： 처음에 증명서를 요구했던 워크스테이션이 아니면 그 증명 

하지 못하게 한다. 

ID V ： 증명서를 정확히 복호했다는것을 봉사기에 보증한다. 

TS 4 ： 봉사기에 이 증명서가 발행된 시간을 알려 준다. 

생명주기 : 증명서가 소멸된후 재연을 막는다. 

ithenticatorr ： 증명서제 출자가 그 증명서를 발행 한 의뢰 기와 같다는것 4 




2. AS 는 사용자의 접근이 자료기지에서 정당 
한가를 검증하고 증명서와 대화열쇠를 창조 
한다. 결과들은 사용자의 통과암호로부터 
파생된 열쇠로 암호화된다. 


사용자가입 
대화당 한번 


. 사용자는 워 크스레 이 션 
에 가입하고 주를퓨터 
에 봉사를 요청 한다, 



증명서-허가증명서를, 
요구한다. 


3. 워크스테이션 은 Vnr 

게 통과암호를 재촉하고 
들어 온 통보문을 통과암, 
호를 리용하여 복호한 디 
음 사용자이름, 망주소가 
포함된 인증자와 증명서 , 
시간을 TGS 에 보낸다. H 


5. 워크스테이션은 봉사기에 증명 
서와 인중자를 보낸다. 




TGS 는 증명서와 인증자를 복호하고 
요구를 검증한 다음 요구한 봉사기에 
대한 증명서를 창조한다. 


6. 봉사기는 증명서와 인증자가 
일 치 한다는것 을 검중한 다 
음 봉사에 대 한 접근을 허 
락한다. 만일 호상인증이 
요구되면 봉사기는 인증자 
를 돌려 준다. 


그림 11-1. Kerberos 의 개괄 


1. Kerberos 봉사기는 자기의 자료기지에 사용자 ID ( UID ) 와 모든 관계 자들의 하쉬 
통과암호들을 가지고 있어 야 한다. 모든 사용자들은 Kerberos 봉사기 에 등록되 
여 있다. 

2. Kerberos 봉사기는 매개 봉사기와 비밀열쇠를 공유하여야 한다. 모든 봉사기들 
은 Kerberos 봉사기 에 등록되여 있 다. 

이러한 하나의 환경을 범위 ( realm ) 라고 한다. 서로 다른 관리기관들 내부의 의뢰기 
들과 봉사기들로 이루어 지는 망들은 일반적으로 서로 다른 범위들을 구성한다. 즉 하나 
의 관리령 역의 사용자들과 봉사기들이 다른 곳의 Kerberos 봉사기 에 등록되는것은 현실 
적이 못되거나 관리에 적합하지 않다. 그러나 한 범위에서 사용자들이 다른 범위에 있는 
봉사기들에 대한 접근을 요구할수 있으며 일부 봉사기들은 다른 범위의 인증된 사용자들 
에게 봉사를 제공할수 있다. 

Kerberos 는 이러한 범위간인증을 지원하는 꾸밈새를 제공한다. 두개의 범위에서 
범위간 ( inter - realm ) 인증을 지원하기 위하여 다음의 세번째 조건이 부가된다. 
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3. 매개의 호상작용하는 범위에서 Kerberos 봉사기는 다른 범위의 봉사기와 비밀열 
쇠를 공유한다. 이 두개의 Kerberos 봉사기들은 서 로 대 방에게 등록된다. 

이 방식은 어떤 범위에 있는 Kerberos 봉사기가 다른 범위에 있는 Kerberos 봉사기 
를 믿고 그것의 사용자들을 인증할것을 요구한다. 더우기 두번째 범위에 관계하는 봉사 
기들은 첫 범위에 있는 Kerberos 봉사기를 믿으려 해야 한다. 

이 런 기본규칙들을 리용하여 꾸밈새를 다음과 같이 서술할수 있다(그림 11-2). 다른 
범 위안의 봉사기 에 대 한 봉사를 원하는 사용자는 그 봉사기 에 대 한 증명 서 를 요구 한다. 
그 사용자의 의뢰기는 보통 절차에 따라 국부 TGS 에 대한 접근을 얻기 위해 일반수속을 
준수하며 다음 어떤 원격의 TGS (다른 범위의 TGS ) 를 위한 증명서-허가증명서를 요구 
한다. 다음 의 뢰기는 원격의 TGS 의 범위 에 있는 요구 하는 봉사기를 위한 봉사-허가증 
명 서 를 얻 기 위해 원격 의 TGS 에 신청할수 있 다. 
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그림 11-2. 다른 범위의 봉사를 요구한다 

























그림 11-2 에서 보여 준 교환들의 상세한 내 용은 다음과 같다(표 11-1 을 비 교하라). : 


(1) C — AS : 

⑵ AS — C : 

(3) C ^ TGS ： 

(4) TGS ，3效 

(5) C — TGS rem : 

(6) TGS — C ： 

(7) OV rem : 


IDdllDtgJlTS! 

Ek c [ Kc , tgs II ID tgs || TS 2 1| Lifetime 2 1| Ticket tgs ] 
IDtgsrem 11 Ticket tgs 11 Authenticator c 
Ek Cj tgs [K Cj tgsrem 11 IDtg Srem 11TS 4 11 Tickettg Srem ] 
IDyremll Ticket tg srem II Authenticator c 

Ek Cj tgsrem [Kcvrem 11 IDvrem 11 TSb 11 Ticket vrem ] 

Ticketvremll Authenticator c 


원격봉사기 ( V rem ) 에 제출된 증명서에 그 사용자가 본래 인증되였던 범위가 지적되였다. 
봉사기는 원격의 요구를 들어 주겠는가 안주겠는가를 선택한다. 

앞의 수법에서 제기되는 하나의 문제는 그것이 많은 범위들에 대하여 그리 효과적이 
지 못하다는것이다. 만일 N 개의 범위들이 있으면 매개 Kerberos 범위들이 다른 모든 범 
위들과 호상작용할수 있도록 N ( N - l )/2 번의 안전한 열쇠교환이 있어야 한다. 

Kerberos 판본 5 

Kerberos 의 판본 5는 RFC 1510 에 서술되였는데 판본 4[ KOHL 94] 에 비해 많이 개선 
되 였다. 론의 에 앞서 판본 4와 판본 5의 차이들을 제시한 다음 판본5의 규약을 보자. 

판본 4와 판본 5의 차이 

판본 5는 두개의 령역 즉 환경적인 결함들과 기술부족측면에서 판본 4의 제한성들을 
극복한것 이 다. 매 개 령 역 에 서 개 선된것 들만 간단히 개 괄하자. 

판본 4의 Kerberos 들은 Project Atiiena 환경 에서 사용하기 위 해 개 발되 였으며 따 
라서 일반목적의 요구는 충분히 만족시키지 못한다. 이것은 다음 환경적결함들을 발로시 
킨 다. 

1. 암호체계의존성 : 판본 4는 DES 를 리용하도록 되 여 있다. DES 에 대한 반출제한 
이 나 DES 의 강도에 대 한 의 심들이 그러한 문제 이 다. 판본 5에서는 임의의 암호 
기 술을 리용할수 있도록 암호문에 암호형 식별 자가 붙어 다닌 다. 암호화열쇠 들에 
는 일정한 형 식과 길 이의 꼬리 표를 달아 주어 서 로 다른 알고리 듬들에 갈은 열쇠 
를 쓸수 있게 하고 또 주어 진 알고리듬의 여 러가지 변종들의 명세들을 허 락한다. 

2. 인터네트규약의존성 : 판본 4는 IP 주소를 사용하도록 되여 있다. IS ◦망주소와 같 
은 다른 주소형식들과는 융통성이 없다. 판본 5의 망주소들에 형식과 길이가 붙 
으므로 임의의 망주소형을 쓸수 있게 하였다. 

3. 통보문의 바이 트정돈: 관본 4에 서 는 어 떤 통보문의 송신자가 그자신이 선정한 바 
이트 (a byte ordering ) 를 써서 제 일 아래 주소에서 최소 유효자료비트나 최대 
유효자료비트를 나타내도록 통보문에 꼬리표들을 달아 준다. 이 기술은 제정된 
협약에 따르지 않고 쓰인다. 판본 5에서는 모든 통보문구조들을 ASN .1 
(Abstract Syntax Notation One ) 과 BER(Basic Encoding Rules ) 를 리 용하여 
정의하는데 이것들은 명백 한 바이트배 렬을 제 공한다. 

4. 중명서생명주기 : 판본 4에서 생명주기값은 5분을 단위로 8비트량으로 코드화되였 
다. 따라서 표시할수 있는 최 대생명주기는 2 8 X 5=1280 분 즉 21시 간을 조금 넘 는 
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다. 이것은 일부 응용(실례로 실행 전기간 유효한 Kerberos 신임장을 요구하는 
긴시간-실행모의)들에서 불충분하다. 판본 5에서는 증명서들에 명백한 시작시간 
과 끝시간을 지적함으로써 증명서들에 생명주기를 임의로 할수 있게 한다. 

5. 인중발송: 판본 4는 하나의 의뢰기에 대해 발행된 신임장이 다른 가입자에게 발 
송되거 나 다른 의뢰기 에 의해 리용되지 못하게 한다. 이 기능은 의뢰기 가 어떤 
봉사기에 접근하고 그 봉사기가 그 의뢰기의 이름으로 다른 봉사기에 접근할수 
있게 한다. 실례로 의뢰기가 인쇄봉사기에 요구를 제출하면 그 인쇄봉사기는 의 
퇴기의 접근신임장을 리용하여 단일봉사기에서 의뢰기파일에 접근한다. 판본 5는 
이 기능을 제공한다. 

6. 내부범위 인중: 판본 4에서 N 개 범위들의 호상작용성은 앞에서 서술한것처 럼 약 
N 2 개의 Kerberos - 대- Kerberos 관계들을 요구한다. 판본 5는 보다 적은 수의 관 
계들을 요구하는 방법을 지원한다. 

이 환경적제한들외에도 판본 4의 규약자체에는 기술적으로 부족한 점들이 있다. 그 
대부분이 문헌 [ BELL 9()] 에 지적되 여 있는데 판본 5에서는 이것들에 주의 가 돌려 지고 
있다. 그 부족점들은 다음과 갈다. 

1. 2중암호: 표 11-1( 통보문 2와 4) 에서 의뢰기들에 제공된 증명서들은 두번은 목 
적봉사기의 비밀열쇠 로，다음은 다시 의뢰기 가 아는 비밀열쇠 로 암호화된다. 두 
번째 암호화는 필요 없으며 계산량적으로 랑비이다. 

2 . PCBC 암호 : 판본 4의 암호화에 서 는 증식 암호 블 로크 련쇄 ( PCBC-propagating 
cipher block chaining ) 로 알려 진 DES 의 비 표준방식 이 리 용된다. 이 방식 은 
암호문블로크들의 호상교체를 포함하는 공격에 약하다는것이 알려 져 있다 
[ KOHL 89]. PCBC 는 암호조작의 부분으로서 완정 성 검 사를 제 공한다. 판본 5는 
표준 CBC 방식 을 암호화에 쓸수 있게 하는 명시적완정성꾸밈새를 제 공한다. 

3. 대화열쇠 (Session keys ) : 매개 증명서들은 대화열쇠를 포함하는데 그것은 의뢰 
기가 그 증명서와 관련한 봉사에 보내 지는 인증자를 암호화하는데 쓰인다. 또 
한 대화열쇠는 의뢰기와 봉사기가 그 대화시간동안 통과하는 통보문을 보호하기 
위 하여 리용한다. 그러 나 같은 증명서 가 어떤 특정의 봉사기 로부터 봉사를 얻기 
위해 반복하여 쓰일수 있으므로 적이 낡은(이전의)대화의 증명서로 의뢰기나 봉 
사기에 통보문들을 재연할 위험이 있다. 판본 5에서는 의뢰기와 봉사기가 부분 
대화열쇠를 약속할수 있는데 그것은 오직 그 한번의 접속을 위해서만 쓰는것이 
다. 의 뢰 기 에 의 한 새 토운 접 근은 새 토운 부분대 화열 쇠 의 리 용에 기 인 한다. 

4. 통과암호공격 : 두개 의 판본이 다 통과암호공격 에는 약하다. AS 로부터 의뢰기 에 
로의 통보문에는 의뢰기의 통과암호에 기초한 열쇠로 암호화된 자료가 있다. 적 
은 이 통보문을 획 득하여 각이한 통과암호들을 써가면서 그것 을 복호하려 고 한 
다. 시험복호결과가 의미 있는 형식이면 적은 의뢰기의 통과암호를 발견하고 이 
어 그것을 리용하여 Kerberos 로부터의 인증신임장을 얻을수 있다. 이것이 15장 
에서 서술한것과 갈은 형태의 통과암호공격인데 같은 종류의 대책을 취할수 있 
다. 판본 5는 사전인증 ( preau 仕 lenticaton ) 으로 알려 진 꾸밈새를 제공하는데 
그것도 통과암호공격을 더 어렵게는 하지만 그것들을 완전히 막지는 못한다. 
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통보문 (2) 는 의뢰기에 대한 정보를 확인하는 증명서-허가증명서와 사용자의 통과암 
호에 기초한 암호화열쇠 에 의하여 암호화된 블로크를 돌려 준다. 이 블로크는 의 뢰기와 
TGS 사이에 쓰이는 대화열쇠，통보문 (1) 에 렬거된 시간들，통보문 (1) 로부터의 한번쓰 
기정보 및 TGS 확인정보를 담는다. 증명서 그자체는 대화열쇠，의뢰기를 확인하는 정보, 
요구 받은 시 간정 보들과 이 증명 서 의 상태 및 요구 받은 선택 항목들을 반영하는 표식 들 
을 포함한다. 이 기 발들은 판본5에 대 한 새 로운 중요한 기능을 시사한다. 먼저 판본5규 
약의 전반적구조를 보면 다음과 같다. 

우선 중명서-허가봉사교환을 판본 4와 판본 5를 비교하여 고찰하자. 두 판본들에서 
통보문 (3) 에는 인증자，증명서 및 요구하는 봉사의 이름을 포함한다. 그의 판본 5는 증 
명서가 요구시 간들과 그 증명서 에 대 한 선택 항목들，한번쓰기정 보 그리 고 통보문 (1) 의것 
들과 류사한 기능들을 가진것들을 모두 포함한다. 인증자 그 자체는 판본4에서 쓰던것과 
본질적으로 갈다. 

통보문 (4) 는 통보문 (2) 와 같은 구조를 가지면서 의뢰기가 요구하는 정보와 증명서를 
함께 돌려 주는데 통보문은 의뢰기와 TGS 가 공유한 대화열쇠 로 암호화된다. 

결국 판본 5에는 의뢰기/봉사기인증교환 ( client/server authentication exchange ) 에 
대한 몇가지 새로운 특성들이 있다. 통보문 (5) 에서 의뢰기는 호상인증을 요구하는것을 선 
택항목으로 요구할수 있다. 인증자는 다음과 갈은 몇개의 새로운 마당들을 포함한다. 

• 부분열쇠: 이 특정의 응용대화를 보호하기 위하여 리용되는 암호열쇠에 대한 의 
퇴기의 선택 . 이 마당이 빠지면 증명서 ( K ᄂ니로부터의 대화열쇠가 리용된다. 

• 렬번호: 이 대화기간에 의뢰기에 보내지는 통보문들을 위하여 봉사기 가 리용하 
는 시 작렬번호를 서 술하는 선택 마당. 통보문들은 재 연들을 탐지 하기 위하여 렬 
번호화될수 있다. 

만일 호상인증이 요구되면 봉사기는 통보문 (5) 로써 응답한다. 이 통보문은 인증자 
로부터의 시간도장을 포함한다. 판본4에서 시간도장은 하나씩 증가하였다. 판본 5에서는 
통보문들의 형식화특성 이 적 이 정 확한 암호열쇠를 알지 못하고서는 통보문 (6) 을 창조할 
수 없는것 이므로 이것 이 필요 없다. 부분열쇠 마당이 존재하면 통보문 (5) 의 부분열쇠 마당 
을 증가한다. 선택렬번호마당은 의뢰기가 리용하는 시작렬번호를 명기한다. 

중명 서 기 발 

판본 5에서 증명서들에 포함된 기 발마당은 판본 4에서의 경우에 비해 확장된 기능을 
지원한다. 표 11-4 는 증명서 에 도입되는 기발들을 개괄한다. 

INITIAL 기 발은 이 증명 서 를 TGS 가 아니 라 AS 가 발행했 다는것 을 가리킨다. 의 뢰 
기 가 TGS 로부터 봉사-허가증명서를 요구하면 TGS 는 AS 로부터 얻은 증명서-허 가증명 
서를 제공한다. 판본 4에서는 이것 이 봉사-허 가증명서를 얻는 방법이 였다. 판본5는 의뢰 
기 가 AS 로부터 봉사-허 가증명서를 직접 얻을수 있는 부가적능력을 제공한다. 그 리용은 
다음과 갈다. 통과암호-변경봉사기와 갈은 봉사기는 그 의뢰기의 통과암호가 최근에 검 
사되였다는것을 알려고 할수 있다. 

PRE - AUTHENT 기발들이 설정되면 이것은 AS 가 첫 요구(통보문 1) 를 받았을 때 
증명서를 발행 하기전에 그 의뢰 기 를 인증했다는것을 가리킨다. 이 사전인증의 정 확한 형 
식은 아직 정의되지 않았다. 실례로서 판본 5의 MIT 실장은 시간도장사전인증을 암호화 
하였다. 사용자가 증명서를 얻으러 하면 의뢰기의 통과암호기초의 열쇠로 암호화된 우연 
섞임물，판본번호 및 사건표시를 포함하는 사전인증블로크를 AS 에 보내야 한다. AS 는 
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표 11-4. 


Kerberos 판본 5의 기발들 


INITIAL 

PRE-AUTHENT 

HW-AUTHENT 

RENEWABLE 

MAY-POSTDATE 

POSTDATED 

INVALID 

PROXIABLE 

PROXY 

FORWARDABLE 

FORWARDED 


이 증명 서 는 AS 규약을 리용하여 발행되 였 으나 증명 서 -허 가 
증명서에 기초하여 발행되지는 않았다. 

초기 인증동안 증명서 가 발행되 기전에 KDC 가 의뢰기를 확인 
하였다. 

초기인증에 리용되는 규약은 지정된 의뢰기만이 소유하게 될 
하드웨 어의 리용을 요구하였다. 

이 증명 서 가 후에 소멸 될 교체증명 서 를 얻 는데 리용할수 있 
다는것을 TGS 에 알려 준다. 

사후년기의 증명서가 이 증명서-허가증명서에 기초하여 발행 
되였다는것을 TGS 에 알려 준다. 

이 증명 서 가 사후년기 되 였 다는것 을 가리킨다. 즉 말단봉사기 는 
인증시간마당을 검사하여 첫 인증이 진행된 시간을 알수 있다. 
이 증명 서 는 쓸수 없 으며 리 용전 에 KDC 에 의하여 유효성 이 
검 증되 여 야 한다. 

TGS 에 다른 망주소를 가진 새 로운 봉사-허 가증명 서 가 제 줄 
된 증명서에 기초하여 발행될수 있다는것을 알려 준다. 

이 증명서 가 대 리 인이 라는것을 가리킨다. 

다른 망주소를 가진 새로운 증명서-허가증명서가 이 증명서-허 
가증명서 에 기초하여 발행될수 있다는것을 TGS 에 알려 준다. 
이 증명서 가 전송되였거 나 전송된 증명서-허가증명서를 포함 
하는 인증에 기 초하여 발급되 였 다는것 을 지 정한다. 


그 블로크를 복호하고 그 사전인증블로크의 시간도장이 정당한 시간내에 들어 가지 않으 
면 증명서-허 가증명서를 돌려 보내지 않는다. 다른 가능성은 사전인증되는 통보문들에 
포함되 는 계 속적 으로 변하는 통과암호를 생 성하는 간단한 카드의 리용이 다. 그 카드가 
생성하는 통과암호들은 사용자의 통과암호에 기초하지 만 요컨대 임의의 통과암호들이 리 
용되 도록 카드에 의해 변환될수 있다. 이것 은 쉽게 추측되 는 통과암호들에 기 초한 공격 
을 막는다. 만일 스마트카드나 그와 류사한 장치가 리용되면 이것은 HW - AUTHENT 기 
발로 지적된다. 

증명서가 긴 생명주기를 가지면 그것을 도적 맞히고 적이 리용할수 있는 가능성이 
있다. 반대로 짧은 생명주기가 위협을 줄이는데 리용된다면 새로운 증명서들을 획득하는 
데 간접비용이 든다. 증명서-허가증명서의 경우에 의뢰기는 사용자의 비밀열쇠를 보관해 
야 하거나(이것은 틀림없이 모험이다.) 사용자에게 반복적으로 통과암호를 요구하여야 
한다. 

타협 방식은 재생 증명서들의 리 용이다. RENEW ABLE 기발설정을 가지는 증명서는 
두개의 소멸시 간을 포함하는데 하나는 이 증명서에 고유한것 이고 다른 하나는 소멸시간 
의 제일 마지막 허용값이 다. 

의뢰기는 새로운 소멸시간을 가진 TGS 로 그것을 제출하여 RENEW 된 증명서를 얻 
을수 있 다. 만일 새 로운 시 간이 제 일 마지 막 허 용값의 한계내 에 들어 가면 TGS 는 새 로 
운 대 화시 간과 어 떤 이 후의 특정한 소멸 시 간을 가지 는 새 로운 증명 서 를 발행한다. 

이 기 구의 우점 은 TGS 가 도적 맞혔 다고 신 고된 증명 서 를 재 생하는것 을 거 절할수 
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있 는것 이 다. 

의 뢰 기는 AS 가 MAY - POSTDATE 기 발설정 을 가지는 증명서-허 가증명서를 제 공할 
것을 요구할수 있다. 그리고 이 증명서를 리용하여 TGS 로부터 POSTDATE 와 INVALID 
로 기 발설정된 증명서를 요구할수 있다. 이 방식은 증명서를 주기적으로 요구하는 봉사 
기 에서 긴 묶음일감을 실행하는데 쓸모 있다. 의 뢰기는 이 대 화기 간에 확장시 간값들을 
가지는 많은 증명서들을 한번에 엄을수 있다. 첫 증명서를 내놓고는 모두 처음에는 무효 
이다. 실행이 새로운 증명서가 요구되는 시점에 도달할 때 의뢰기는 적당한 증명서를 유 
효화할수 있다. 이 수법에서 의뢰기는 봉사허가증명서를 얻는데 자기의 증명서-허가증명 
서 를 반복하여 리용하지 말아야 한다. 

판본 5에서 봉사기는 다른 봉사기 로부터의 봉사를 위해 의 뢰기의 신임 장과 특권을 
효과적 으로 채 택 함으로써 그 의 뢰기의 대 리인처 럼 활동할수 있다. 만일 의뢰기가 이 꾸 
밈새를 리용하려고 한다면 PROXIABLE 기발설정을 가지는 증명서-허가증명서를 요구한다. 
이 증명서가 TGS 에 제출되면 TGS 는 서로 다른 망주소들을 가지는 봉사-허가증명서를 발행 
할데 대하여 허락 받는다. 즉 이후의 증명서는 그것의 PROXY 기발설정을 가진다. 이러한 
증명서를 받는 응용은 그것을 접수하거나 또는 검열추적을 제공하기 위해 부가적인 인증 
을 요구할수 있다. 

대리인개념은 더 힘 있는 전송절차의 일부 경우이다. 만일 증명서가 forw ¬ 
ardable 기발로써 설정되면 TGS 는 서로 다른 망주소와 FORWARDED 기발설정을 가 
지 는 증명 서 -허 가증명 서 를 요구자에 게 발행할수 있 다. 다음 이 증명 서 는 원격 TGS 에 제 
출된다. 이 능력은 의뢰기가 다른 범위에 있는 봉사기에 대한 접근을 매개 Kerberos 가 
다른 모든 범위의 Kerberos 봉사기들과 비밀열쇠를 유지하지 않고서도 엄을수 있게 한다. 
실례로 범위들은 계층적으로 구성될수 있다. 그러면 의뢰기는 나무를 따라 공통마디로 
갔다가 목표범위로 들어 갈수 있다. 방문의 매 단계는 경로상에서 증명서-허가증명서를 
다음의 TGS 에로의 전송을 포함한다. 


11.2 X .509 등록부인증봉사 


ITU - T 권고의 X .509 는 등록부봉사를 정의하는 권고들의 X .500 계 렬의 부분이 다. 등 
록부는 사실상 사용자들에 대한 정보자료기지를 보관하는 봉사기 또는 봉사기들의 분포 
된 모임 이 다. 정보에는 망주소로 사영한 사용자의 이름이 나 기 타 사용자와 관련한 속성 
이 나 자료가 들어 있을수 있다. 

X .509 는 사용자들에 대 하여 X . 500등록부에 의한 인증봉사준비 를 위한 구성 을 정의 
한다. 등록부는 6장에서 서술된 형 태의 공개열쇠증명서들의 저 장소로서 봉사할수 있다. 
매개 증명서들은 사용자의 공개열쇠들을 포함하며 신용된 증명국의 비밀열쇠로 서명된다. 
또한 X .509 는 공개열쇠 증명 서 의 리 용에 기 초한 교차인증규약을 정 의한다. 

X . 509에 서 정 의된 증명서구조와 인증규약들이 여 러 응용들에 서 쓰이 므로 X .509 는 
중요한 표준이다. 실례로 X .509 의 증명서형식은 S / MIMEC 12 장), IP Security (13 장)， 
SSL/TLS 및 SET (14 장)에서 리용된다. 

X .509 는 1988년에 처음으로 공개되 였다. 그 표준은 후에 [ IANS 9 이과 [ MTC 90] 에 
서 서술된 일부 보안문제와 관련하여 계속 개정되였으며 그 개정판이 1993년에 공개되였 
다. 세번째 판본은 1995년에 초안이 작성되였다. 

X .509 는 공개열쇠암호와 수자서 명 에 기 초하고 있 다. 표준은 특정한 알고리 듬을 사 
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용하지 않지 만 RSA 에 의 거한다. 수자서 명 방식 은 하쉬함수를 리 용하는것 으로 가정 하였 
다. 게 다가 표준은 특정한 하쉬알고리 듬의 사용을 지 정하지 않는다. 1988년판에 서 는 선 
택된 하쉬알고리 듬의 해설을 주었다. 후에 도 이 알고리 듬은 안전하지 못하다는것 이 밝혀 
지고 있으며 1993년의 개정판에서 삭제되였다. 

증명서 

X . 509방식 의 기 본 핵 은 매 사용자들에 대 한 공개열쇠증명서 이다. 이 사용자증명서 
들은 신용되는 증명 국 ( CA : Certification Au 仕 lority ) 이 발급하며 ◦쇼나 사용자에 의 해 
등록부에 배 치된다. 등록부봉사기 자체는 공개 열쇠의 발급이 나 증명 기능의 창조를 감당하 
지 않고 다만 사용자가 증명서를 얻기 위하여 쉽게 접근할수 있는 장소를 제공한다. 

그림 11-3 의 자에 증명서의 일반형식을 보여 준다. 그것은 다음의 요소들을 포함한다. 
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그림 11-3. X . 509형식 


• 판본: 증명서형식의 련속적인 판본들을 구별한다. 즉 기정판은 판본 1이다. 만 
일 Initiator Unique Identifier 나 Subject Unique Identifier 가 있으면 그 값 
은 판본 2이다. 만일 하나 또는 그 이상의 확장들이 있으면 그 값은 판본 3이다. 

• 계렬번호: 발행되는 CA 내에서 유일한 옹근수로서 증명서와의 관련이 모호한것 
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• 서명알고리듬식별자: 모든 관련되는 파라메터들과 함께 증명서를 서명하는데 리 
용되는 알고리듬. 이 정보는 증명서의 마지막 서명마당에서 반복되므로 이 마당 
은 임의의 리용이 있다고 해도 적다. 

• 발행 자이름: 이 증명서를 발급하고 서명한 CA 의 X. 500이름 

• 유효성기간: 두개의 날자로 이루어 진다. 그 증명서가 유효한 처음과 마지막시 
간으로 구성된다. 

• 대상이름: 이 증명서가 위임되는 사용자의 이름. 즉 이 증명서는 대응하는 비밀 
열쇠 를 가지 는 대 상의 공개열쇠 를 확인한다. 

• 대상의 공개열쇠정보: 다른 모든 관련파라메터들과 함께 이 열쇠가 리용되는 알 
고리 듬의 식 별 자와 대 상의 공개열 쇠 

• 발행 자유일식 별 자: 다른 실체 들에 서 X. 509이 름이 재 리용되 는 경 우에 발행◦쇼를 
유일 하게 식 별 하기 위 하여 리 용하는 선택 적 비 트렬 마당 

• 대상유일식별자: 다른 실체들에서 X.509 이름이 재리용되는 경우에 그 대상을 
유일 하게 식 별 하기 위 하여 리 용하는 선택 적 비 트렬 마당 

• 확장: 하나 또는 그 이상의 확장마당들의 모임 . 확장은 판본 3에 부가되는데 이 
절의 뒤 에서 론의한다. 

• 서명: 증명서의 다른 모든 마당들을 포함한다. 즉 이것은 ◦쇼의 비밀열쇠로 암 
호화된 다른 부분들의 하쉬코드를 포함한다. 이 부분은 서 명알고리 듬식 별 자를 
포함한다. 

유일식별자마당들은 판본 2에 부가되 여 시 간외 대상 및/또는 발행 자이름들의 가능한 
재 리 용을 조정한다. 이 마당들은 그리 리 용되 지 않는다. 

표준은 다음의 표시 를 리용하여 증명 서 를 정 의한다. 

CA«A»=CA{U，SN，AI，CA，T A ，A, A P } 


여기서 


Y«X» = 증명 국 Y 가 발행한 사용자 표의 증명 서 

Y{I}= 모에 의한 I의 서명 . 이것은 암호화된 하쉬코드가 덧 달린 I로 구성한다. 

CA 는 증명서 에 자기의 비밀 열쇠 로 서명한다. 만일 대 응한 공개열쇠 가 이 사용자에 
게 알려 지면 사용자는 CA 가 서명한 증명서 가 정 당한가를 검증할수 있다. 이것은 그림 
8-5 의 도 에서 설명된 전형적 인 수자서명 이다. 


사용자의 중명서얻 기 

CA 에 의해 생 성된 사용자증명서 는 다음의 특성 들을 가진다. 

• CA 의 공개열쇠 에 접 근할수 있는 임 의의 사용자는 보증된 사용자공개열쇠 를 회 
복 할 수 있 다. 

• 증명국이 아닌 다른것들은 그 증명서를 변경시킬수 없다. 
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증명서들이 위조불가능하므로 등록부가 그것들을 특별히 보호할 필요없이 등록부에 





배치 할수 있 다. 

만일 모든 사용자들이 갈은 CA 에 예약하면 그 ◦쇼에 대한 일반적인 신임이 있는것 
이 다. 모든 사용자증명 서 들은 접 근을 위 해 등록부에 배 치할수 있 다. 또한 사용자는 자기 
의 증명서를 다른 사용자들에게 직접 전송할수 있다. 어느 경우든 B 가 A 의 증명서를 소 
유하기 만 하면 묘는 A 의 공개열쇠 로 암호화한 통보문이 도청 으로부터 안전하며 A 의 비 
밀열쇠로 서명된 통보문도 위조불가능하다는 확신을 가질수 있다. 

만일 큰 사용자공동체가 있으면 모든 사용자들이 갈은 ◦쇼에 예 약한다고는 할수 없 
다. 증명서 들에 서명하는것도 CA 이므로 매 참가자(사용자)들은 ◦쇼의 공개열쇠 에 의한 
복사를 가지 고 서 명 들을 검 증하여 야 한다. 이 공개열쇠 는 사용자들이 증명 서 에 대 하여 
믿음을 가지도록 절대적으로 안전한(완정성과 인증성에 대하여) 방법으로 매개 사용자들 
에게 제공되여야 한다. 따라서 사용자들이 많으면 여러개의 ◦쇼들이 있는것이 더욱 현실 
적일것이다. 

이제 A 가 증명국 Xi 로부터 증명서를 받고 묘는 증명국 X 2 로부터 증명서를 밤았다 
고 가정 하자. 만일 A 가 X 2 의 공개열쇠 를 확고히 알수 없으면 A 는 묘의 증명 서 를 쓸수 
없다. A 는 B 의 증명서를 읽을수 있지만 그 서명을 확인할수 없다. 그러나 만일 두개의 
CA 들이 자기 들의 공개열쇠 를 안전하게 교환하면 다음의 절 차에 의해 A 는 B 의 공개열 
쇠를 얻을수 있다. 

1. A 는 등록부로부터 本이 서명한 X 2 의 증명서를 엄는다. A 는 도의 공개열쇠를 
확고히 알고 있으므로 자기 의 증명 서 로부터 지의 공개열쇠 를 얻 을수 있으며 그 
것을 증명서의 도의 서명을 리용하여 검증할수 있다. 

2. 다음에 A 는 등록부로 돌아 가서 X 2 이 서명한 B 의 증명서를 얻는다. 이때 A 는 
X 2 의 공개열쇠 에 대 한 신용되는 복사를 가지므로 서명 을 검 증하고 묘의 공개열 
쇠를 안전하게 엄을수 있다. 

A 는 증명서련쇄 를 리용하여 묘의 공개열쇠 를 얻 는다. X .509 의 표기 법 에서 이 련쇄 
는 다음과 같이 표시할수 있 다. 


X !聲義 X 2 > > X 2 < < B > > 


갈은 방식 으로 묘는 A 의 공개열쇠 를 거 끌련쇄 로 엄 을수 있 다. 


X2 ■..용 Xx < < A > ； 


이 방식은 두개의 증명서의 련쇄에만 극한되지 않는다. 임의로 긴 ◦쇼들의 토정을 
련쇄을 따라 창조할수 있다. N 개의 요소들을 가지는 련쇄는 


Xj_ 걸 ' 參 C X2 > >X2< < X3 vXn < < B > 확 :.: 


로 표현된다. 이 경우에 련쇄 ( x ,， x , +1 ) 에서 매 ◦쇼들의 쌍은 서로에 대하여 증명서들을 
만들어 야 한다. 

CA 들사이의 이 모든 증명서들은 등록부에 나타나며 사용자는 다른 사용자의 공개 
열쇠증명서에로의 경로에 그것들이 어떻게 련결되여 가는가를 알아야 한다. X .509 는 람 
색이 간단하도록 CA 들이 계층적으로 배렬된것을 제안한다. 
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그림 11-4 에 이러한 계층의 실례를 보여 주었다. 련결된 원은 CA 들속에서 계층적 
관계 를 의 미하며 또 그와 련결된 칸들은 매 개 CA 가입 을 위하여 등록부에 유지 되 는 증명 
서들을 가리킨다. 매 개 ◦쇼에 대 한 등록부가입은 두가지 형 태의 증명서들을 포함한다. 

• 앞방향중명서 : 다른 ◦쇼들에 의해 생성된 표의 증명서 들 

• 반대 방향중명서 : 다른 CA 들의 증명서 들인 표에 의해 생 성된 증명서 들 

이 실례에서 사용자 A 는 등록부로부터 다음의 증명서들을 알고 B 에로의 증명로정 
을 설 정할수 있 다. 

X << W ^> W << V ^-> V << Y ^> Y << Z >> Z << B >^ 

A 가 이 증명서 들을 엄 으면 그는 증명 로정 들을 차례 로 헤 쳐 보면서 묘의 공개열쇠 
의 확실 한 복사를 발견할수 있 다. 이 공개열쇠 를 씨서 A 는 B 에 게 암호화된 통보문을 
보낸다. 

만일 A 가 B 로부터 거 꾸로 암호화된 통보문을 되받으러 고 한다거 나 B 에 게 보낸 통 
보문에 서명하려 고 하면 묘는 A 의 공개열쇠 를 요구한다. 다음의 증명 과정 으로부터 이 것 
을 엄을수 있다. 

Z < < Y > > Y < < V > > V < < W > > W < < X >〉 X < < A 〉:# 

B 는 등록부로부터 이 증명서들의 모임을 엄을수 있다. 또한 A 는 그것들을 B 에게 
초기통보문의 부분으로서 제공할수 있다. 
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그림 11-4. X . 509 계 층 (가설 적 인 실 례 ) 




증명서의 취소 

그림 11-3 으로부터 신용카드와 마찬가지로 매개 증명서는 유효기간을 포함한다는것 
을 상기하자. 일 반적 으로 새 로운 증명 서 는 낡은것 이 끝나기직 전에 발행 된다. 또한 다음 
의 리유들중의 하나로 하여 때때 로 증명서의 유효기 간이 끝나기전에 취소할것 이 요구될 
수 있다. 

1. 사용자의 비밀열쇠가 손상되였다고 인정된다. 

2. 사용자는 이 ◦쇼에 의해 더 이 상 보증되 지 않는다. 

3. CA 의 증명서가 손상되였다고 가정된다. 

매 개 CA 는 사용자들과 ◦쇼들에 발행 된 증명 서 들을 포함하여 그 ◦쇼가 발행한 유효 
기 간이 끝나지 않았지만 취 소된 모든 증명 서 들로 이 루어 지 는 목록을 유지 하여 야 한다. 
이 목록들은 등록부에 기입된다. 

등록부에 게 시된 매 개 증명서 취소목록 ( CRL-certificate revocation list ) 은 발행 자 
에 의해 서명되며 발행자의 이름，그 목록이 창조된 날자， CRL 이 발행된 날자 및 매개 
취소된 증명서의 기입을 포함한다. 매개 입구자료 ( entry ) 는 증명서의 계렬번호와 취소 
날자로 구성된다. 계렬번호들른 하나의 ◦쇼에서 유일하므로 그 증명서를 확인하는데 충 
분 하다. 

사용자가 통보문으로 증명서를 받으면 그 증명서가 취소되였는가 어떤가를 결정해야 
한다. 사용자는 증명서를 받을 때마다 등록부를 검사한다. 등록부탐색과 관련한 지 연(및 
가능한 비용)을 피하기 위 하여 사용자는 증명서，목록 또는 취소된 증명서들의 국부캐시 
를 유지할수 있 다. 

인증절차 

X .509 는 여 러 가지 응용들을 교차적 으로 리용하기 위하여 창조된 3가지 인증절 차들 
을 포함한다. 이 모든 절 차들은 공개열쇠서 명 을 리 용한다. 두 대 상이 서 로 상대의 공개 
열쇠를 안다고 가정하자. 그림 11-5 에 3가지 그 절차들을 보여 주었다. 

한방향인 중 

한방향인증은 한 사용자 ( A ) 로부터 다른 사용자(피에로의 정보의 단일전송을 포함 
한다. 다음과 같이 정 의한다. 

1. A 의 확인과 통보문이 A 에 의해 생성되 였다는것 

2. 그 통보문이 B 에게 보내 진다는것 

3. 그 통보문의 완정 성 과 초기 성 (여 러번 보내 지 지 않았다는것 ) 

이 처리에서는 응답하는 실체의 정당성이 아니라 받아 들인 실체의 정당성만이 검증된다. 

최 소한 통보문은 시 간도장 t A ， 한번쓰기정 보 r A 및 B 의 식 별자로 이 루어 지 며 A 의 
공개열쇠로 서명된다. 시간도장은 생성시간과 소멸시간으로 이루어 진다. 이것은 통보문 
의 지 연된 배 달을 막는다. 한번쓰기정보는 재연공격을 적 발하는데 쓸수 있다. 그 값은 
통보문의소멸시 간내 에서 유일해 야 한다. 따라서 B 는 한번쓰기정보가 소멸될 때까지 그 
것을 보관하고 같은 한번쓰기정보을 가진 새로운 통보문들을 거부할수 있다. 
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l.A{t A ， r A ， B ， sgnData,E KUb [K A ] 



l.A{t A ,r A ,B, sgpData.E^pC^] 



1 ,A{t A , r A , B, sgnData,E KUb [K ^ ] 



C ) 세방향인증 


그림 11-5. X .509 강인증절차 


순수한 인증에서 통보문은 단순히 묘에 대한 신임장을 표현하는데 쓰인다. 통보문은 
운반되는 정보를 포함할수도 있다. 이 정보 즉 서명자료는 서명의 범위에 포함되여 정당 
성 과 완정 성 을 담보한다. 통보문은 또한 묘의 공개열쇠 로 암호화된 대 화열쇠 를 B 에 로 나 
르는데 쓸수 있다. 

쌍방향인중 

우에서 설명한 세 요소들외 에 쌍방향인증은 다음의 요소들을 설정한다. 

4. 묘의 신원과 응답통보문이 묘에 의해 생성되 였다는것 

5. 그 통보문이 A 에 가는것 이 라는것 

6. 그 응답의 완정성과 초기성 

이와 같이 쌍방향인증은 통신에서 다른 사람의 신원을 검증하는데 두개의 대상들을 
다 허 락한다. 

응답통보문은 응답을 확인하기 위하여 A 로부터 의 한번쓰기정 보을 포함한다. 그것 은 
또한 B 가 생성한 시 간도장과 한번쓰기정 보도 포함한다. 앞에서 와 마찬가지 로 그 통보문 
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은 A 의 공개열쇠 로 암호화된 서명된 부가정 보와 대 화열쇠를 포함할수 있다. 

세 방향인중 

세방향인증에는 A 로부터 B 에 로의 마지막통보문이 포함되는데 거기 에는 다의 서명된 
복사가 들어 있다. 이 설계의 취지는 시간도장 ( timestamps ) 을 검사할 필요가 없다는것 
이 다. 즉 두개 의 한번쓰기 정 보들이 다 상대 측에 의해 다시 되 돌이 되 므로 매 측은 돌아 
온 한번쓰기정보을 검사하여 재 연공격을 적 발할수 있다. 이 방식은 동기화된 박자들을 
쓸수 없을 때 필요하다. 

X .509 판본 3 

X .509 판본 2형식은 새로운 설계와 실장실현이 필요하게 된다고 본 정보들을 모두 
나르지 못한다. 문헌 [ FORD 95] 에 서 는 판본 2에 서 만족되 지 않는 다음의 요구조건들을 
소개 한다. 

1. 주동체마당은 공개열쇠사용자에게 열쇠소유자의 신원을 나르는데 적합치 않다. 
X .509 이름들은 비교적 짧아서 사용자가 요구할수 있는 명백한 신원증명세부가 
빠질수 있다. 

2. 또한 주동체마당은 일반적 으로 실체들을 인터네트전자우편주소 ， URL 또는 다른 
일 련의 인 터네 트관련의 확인으로 인식 되 는 많은 응용들에 대 하여 불충분하다. 

3. 보안방략정보를 지적할 필요가 있다. 이 것은 보안응용이 나 기능 ( IPSec 와 같은) 
이 주어 진 방법에 대하여 X . 509증명서를 관련시킬수 있다. 

4. 특정 의 증명 서 의 리용성 에 제 한들을 주어 결점 이 나 악의 있는 CA 로부터 생 길수 
있는 피해를 제한할 필요가 있다. 

5. 서 로 다른 시 간에 한 소유자가 리용할수 있는 서 로 다른 열쇠 를 확인하는것 이 
중요하다. 이 특성은 열쇠생명주기관리 특히 규칙적인 토대 또는 례외적인 정황 
밑에서 사용자나 ◦쇼들에 열쇠쌍을 갱신하는 능력을 지원한다. 

규격의 개발자들은 고정된 형식에 부분들을 계속 부가하기보다 유연한 접근이 필요 
하다는것을 알았다. 따라서 판본 3은 판본 2형식에 첨부할수 있는 선택항목확장들을 포 
함한다. 매개 확장은 확장식별자，위험성지시기 및 확장값으로 이루어 진다. 위험성지시 
기는 확장이 안전하게 무시될수 있는가를 가리킨다. 만일 지시기가 TRUE 값을 가지고 
실장이 확장을 인정하지 않으면 그것은 증명서를 정당하지 않은것으로 취급한다. 

증명서확장들은 세개의 주요부류 즉 열쇠，확인절차정보，대상과 발행 자특성 및 증 
명경로제한에 들어 간다. 

열쇠와 방략정보 

이 확장들은 대 상과 발행 자열 쇠 및 증명 서방략지적 자들에 대 한 추가적 인 정 보들을 
담고 있다. 증명서방략은 공통된 보안요구를 가진 특정의 공동체 와 부류 혹은 그 개 개들 
에 증명서를 적용할수 있는가를 지적해 주는 규칙들의 일정한 모임 이 다. 실례 로 방략은 
주어 진 가격범위내에서 물건들을 매매하기 위한 전자자료교환업무의 인증에 적용할수 
있 다. 

이 령역은 다음의것들을 포함한다. 
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• 중명국의 열쇠식별자: 이 증명서나 CRL 에 대한 서명을 검증하는데 리용되는 
공개열쇠를 확인한다. 한 ◦쇼의 서 로 다른 열쇠들을 구분할수 있게 한다. 이 
마당의 한가지 리용은 CA 열 쇠 쌍의 갱 신을 조종하는것 이 다. 

• 주동체의 열쇠식별자: 검증되고 있는 공개열쇠를 확인한다. 주동체열쇠쌍을 갱 
신하는데 리용한다. 또한 대상은 여 러개의 열쇠쌍들을 가지 고 서 로 다른 목적 
들에 서로 다른 증명서들을 리용할수 있다(즉 수자서명과 암호열쇠). 

• 열쇠취 급법 : 확인된 공개열쇠 를 리 용하는 목적 과 확인절 차들에 관하여 부여 된 
제 한을 가리킨다. 다음것들 즉 수자서명，비거절, 열쇠암호화，자료암호화, 열 
쇠들의 증명서들에 대한 CA 서명검증， CRL 들에 대한 CA 서명검증들중의 하나 
또는 그 이 상을 가리킬수 있 다. 

• 비밀열쇠사용주기 : 공개열쇠에 상응한 비밀열쇠리용의 주기를 가리킨다. 일반 
적으로 비밀열쇠는 공개열쇠의 유효성과 다른 주기에서 리용된다. 실례로 수자 
서명열쇠들에서 비밀열쇠에 서명하기 위한 리용주기는 일반적으로 공개 열쇠을 
검 증하기 위한 리용주기 보다 더 짧다. 

• 중명서방략들 : 증명서들이 여 러개의 방략들을 적 용하는 환경들에서 리용될수 
있 다. 이 확장은 증명 서 가 선택 적확인자정 보와 함께 지 원되 는것 으로 인정 되 는 
방략들을 렬거한다. 

• 방략사영 : 다른 ◦쇼들에 서 발행 된 ◦쇼들을 위한 증명 서 들에 서 만 리용한다. 방 
략사영은 발행 ◦쇼가 그 발행 자의 방략들중의 하나 또는 그 이상을 그 대상의 
CA 령역 에서 리 용되 는 다른 방략과 동등하게 고찰할수 있다는것 을 가리킨다. 

중명서대상과 발행자속성 

이 확장들은 증명서대상 또는 증명서발행자에 대하여 대안형식들에서 대안이름들을 
지 원하며 그 증명서대 상에 대 한 부가정 보를 담아 그것 이 특정한 사람 또는 실체 이라는 
증명서사용자의 믿음성을 증가시킬수 있다. 실례로 우편주소와 회사에서의 직위 또는 화 
상과 같은 정보가 요구될수 있다. 

이 령역 에서 확장마당들은 다음의것을 포함한다. 

• 주동체대안이름: 어떤 형식 을 리용하는 하나 또는 그 이상의 대 용이 름들을 포 
함한다. 이 마당은 전자우편， EDI 및 IPSec 와 갈은 응용들을 지원하는데서 중 
요하며 그것은 그것들의 소유이름형식들을 리용할수 있다. 

• 발행자대 안이름: 여 러가지 형식들중에서 어느 하나를 리용하는 하나 또는 그 
이상의 대 안이름들을 포함한다. 

• 주동체등록부속성: 이 증명서의 대상에 대한 임의의 요구되는 X . 500등록부속 
성을 담는다. 


중명 경 로제 약 

이 확장들에 의 해서 제 약명세서 (constraint specification ) 들이 다른 CA 들이 그 
◦요용으로 발행 한 증명서들에 포함되도록 한다. 제 약들은 대상 ◦쇼에 의해 발행될수 있 
거 나 증명련쇄 에서 련속 생길수 있는 증명서들의 형들을 제 한할수 있다. 

이 령역 에서 확장마당들은 다음의것을 포함한다. 
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• 기 초제 약들 (Basic constraints) : 대 상이 작용할수 있는가를 가리 킨다. 

그렇 다면 증명경로길이제 약을 명시 할수 있다. 

• 이 름제 약들 (Name cons 切 "aints) : 증명 경 로에 서 련속한 증명 서 들에 있 는 모든 
대상이름들이 위치할 이름공간을 지적한다. 

• 방략제약들 (Policy constraints) : 명시적인 방략확인을 요구하거나 또는 증명 
경 로의 나머 지 부분에 대 하여 방략작성 을 금지할수 있는 제 약들을 명 기 한다. 
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참고할 web 싸이트 

• MIT Kerberos 싸이트 : FAQ , 론문들과 문서들 및 상품싸이트에 대한 지적자 
들을 포함하는 Kerberos 에 대한 정보 

• USC/ISI Kerberos 페 지 : Kerberos 자료의 다른 자료원천 

• 공개 열쇠 하부구조작업그룹 (Public-key Infrastructure Working Group) : 
X .509 v 3 에 기 초한 IETF 그루빠개발규격 

• 판본표시 (Verisign): X .09 관련제품들의 기본부동산; 이 싸이트에서 백지들과 
기 타 가치 있는 자료 


문 제 

1. PCBC 방식 (그림 11-7) 에서 암호문의 한개 블로크에서의 우연오유가 평 문의 모든 
련속한 블로크들에 로 확산된 다는것 을 밝히 시 오. 

2. PCBC 방식에서 블로크 (가와 C ,. +1 이 전송중에 교환된다는것을 밝히시오. 이것은 
복호된 블로크 기와 P ;+1 에만 영 향을 미치지 련속된 블로크들에는 영 향을 미치 
지 않는다는것을 밝히시오. 

3. 그림 11-5 의 도 에서 설명된 X .509 에 대 한 원래의 세방향인증절차는 보안결함을 
포함한다. 그 규약의 본질은 다음과 갈다. 
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A ᅳ B 
B ᅳ A 
A ᅳ B 


A { t A ， r A ， B } 
B { t B , r B , A , r A } 
A { r B } 


X .509 의 본문은 검 사시 간도장 t A 와 t B 가 세방향인증에 대 한 선택 항목이 라는것 을 
설명한다. 다음의 실례 를 고찰하자. A 와 B 가 이 전에 진행한 규약을 리용하고 
적 C 가 선행한 세개의 통보문들을 가로챈다고 하자. 또한 시간도장들이 리용되 
지 않고 모두 0으로 설정된다고 가정한다. 마지막으로 C 는 A 가 묘로 나타나도록 
하려고 한다고 하자. C 는 처음 로획한 통보문을 B 에게 보낸다. 

C — B : A {0, r A ’ B } 

묘는 A 에게 보낸다고 생각하고 응답하지만 실제로 C 에게 보낸다. 

B — C : B {0, 4， A ，} 

C 는 그사이에 어떤 방법으로 A 가 C 에 대한 인증을 하도록 한다. 결과 A 는 C 에 
게 다음의것을 보낸다. 


A — C : A {0, i，B} 

C 는 묘가 C 에게 제공하는 같은 한번쓰기정보를 리용하여 A 에게 응답한다. 

C — A : C {0, 4, A , 

A 는 

A—C: A{4) 

로 응답한다. C 는 분명 B 가 A 와 대화하고 있다는것을 확인시 킬 필요가 있을것 
이며 따라서 받은 통보문을 다시 B 에게 돌려 보낸다. 

C—B: AI41 

따라서 B 는 사실은 C 에게 전달하고 있는것을 A 에게 전달한다고 믿게 된다. 시 
간도장의 리용에 의 거하지 않는 이 문제의 간단한 해 결책 을 제 기하시 오. 

4. X .509 의 1988판은 RSA 열쇠들이 큰수의 인수분해의 어 려움성 에 대 한 현재의 정 
보가 주어 지면 안전하여 야 한다는 성 질들을 들고 있다. 론의는 공개지수와 mod 
n 에 관한 제약으로 결속된다. 

평 문을 풀기 위 하여 mod n 의 e 차뿌리를 취 하며 공격 을 막기 위 해서 는 
e > log 2 ( n ) 이 성립해야 한다. 

그 제 약이 정확하다고 해도 그것을 요구 하는 리유는 정확치 않다. 주어 진 리유 
에서 무엇이 잘못이고 무엇이 정확한가? 





부특 11: KERBEROS 암호화기술 


kerberos 는 여 러 가지 암호관련조작들을 지원하는 암호서 고를 포함한다. 

■과암호-열쇠전송 

Kerberos 에 서 통과암호들은 7 -bit ASCII 형 식 으로 표시 할수 있는 문자들의 리 용으 
로 국한된다. 이 통과암호는 kerberos 자료기지에 기 억되여 있는 암호열쇠로 전환된다. 
그림 11-6 은 그 절차를 보여 준다. 


1 문자 _ ► 


가 ) 통4암호를 비 트흐름으로 변환 

5的 it 우의 
부채 형 

비토방향의 
XOR 

64 -bit 입 력 열쇠 

1_ ) 비丄흐골은 입력열쇠로 변환 





7 bitASCII 로 표시 된 i 
통과암호知문자) 1 


정렬된 비트흐름 
(7 X n bit ) I 


s[8] - *[151 s[n - 8] - s[n - 1) 



출력열쇠 Kc 


n) 통과암호의 DES CBC 검사합의 생성 


그림 11-6. 통과암호로부터 암호열쇠의 생성 
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먼저 문자렬 S 는 비트렬 b 로 묶어 져 첫 문자는 첫 7bit 에，둘째 문자는 두번째 
7bit 에 등으로 기 억된다. 이것은 다음과 같이 표시할수 있다. 

b[0] = bit 0 of s[0] 

b[0] = bit 6 of s[0] 
b[7] = bit 0 of s[l] 

b [7i+m] = bit m of s[I] Q 호 的* 호 ，名 

다음 그 비트렬은 “부채살” 방식으로 비트들을 직선으로 늘여 놓고 비트끼리의 
XOR 를 수행하여 56bit 로 밀집된다. 실례로 그 비트렬의 길이가 59 이면 

b[55J=b[55]©b[56] 

b[54]=b[54]®b[57] 

b[53]=b[53]©b[58] 


이다. 

이 것은 56-bit DES 열쇠를 생성 한다. 확장된 64-bit 열쇠형식 을 구성 하기 위 하여 그 
렬은 8 개의 7-bit 블로크들의 렬로 취급되 며 입 력열쇠 Kpw 를 생성하기 위하여 8 개의 8- 
bit 블로크들로 넘어 간다. 

마지막으로 원래의 통과암호는 DES 의 암호블로크련쇄 (CBC) 방식에서 열쇠 Kpw 로 
암호화된 다. CBC 검 사합이라고 하는 이 처 리 로부터 돌려 받은 마지 막 64-bit 블로크는 이 
통과암호와 련관된 출력열쇠 이 다. 

전체 알고리듬은 임의의 통과암호를 64-bit 하쉬코드로 넘기는 하쉬함수로 볼수 있다. 

확산형암호블로크련쇄방식 

DES 의 CBC 방식의 매 단계에서 DES 알고리듬의 입력은 현재의 평문블로크와 바로 
앞의 암호블로크의 XOR 로 이루어 진다(그림 3-12) . 매개 평문블로크들이 독립적으로 
암호화되 는 전 자부호책 방식 에 비해 이 방식 의 우점 은 갈은 평 문블로크가 반복되 면 서 로 
다른 암호문블로크들이 생성되는것 이 다. 

CBC 에서는 오유가 암호문블로크 C/ 의 전송중에 생기면 그 오유가 회복되는 평문 
블로크 도느와 Pjq 들에 확산되는 특성 이 있다. 

Kerberos 판본 4 는 확산 CBC 방식 (PCBC) 이 라고 부르는 CBC 의 확장을 리 용한다 
[MEVE8 幻 . 이 방식은 한개의 암호문블로크의 오유가 통보문의 모든 련속한 복호된 블 
로크들에 확산되는 성질이 있다. 따라서 자료암호와 완정성이 한개의 조작으로 결합된다. 

그림 11-7 에 PCBC 를 보여 주었다. 이 방식에서 암호화알고리듬의 입력은 현재의 
평문블 로크， 앞의 암호문블 로크와 평문블 로크의 XOR 이 다. 
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제 12 장. 전자우편보안 


전자우편은 거의 모든 분산된 환경들에서 제일 많이 리용되는 망응용이다. 

또한 모든 구성방식들과 판매자가동환경전반에서 널리 쓰이는 유일한 분산응용이다. 
사용자들은 주콤퓨터의 조작체계 나 통신수단에는 관계 없이 인터 네트에 직접 또는 간접적 
으로 접속된 다른 사람들에게 우편을 보내게 되기를 바라거나 그렇게 하고 있다. 

다양한 목적들을 실현하는데서 전자우편에 대한 의뢰가 폭발적으로 중대하는것과 관 
련하여 인증과 기밀성에 대한 요구도 높아 지고 있다. 두가지 방식 즉 PGP 와 S/MIME 
가 앞으로 몇년 안에 널 리 쓰이 게 될 것 으로 예 견된 다. 


12.1 PGP 


PGP (PRETTY GOOD PRIVACY) 의 개 발은 특기 할 사변이다. 필 짐 머 맨 (phil 
zimmermann) 이 거의 단독으로 개발한 PGP 는 전자우편과 파일보관에 쓰이는 기밀성과 
인증봉사를 제공한다. 요컨대 짐머맨 ( Zimmermann ) 은 다음의 과제들을 실현하였다. 

1. 기초블로크로서 가장 실용적인 암호알고리듬을 선택하였다. 

2. 이 알고리듬들을 조작체계 나 처 리기와는 독립 이고 쉽게 리용할수 있는 몇개의 
명 령 들에 기 초한 상용응용프로그람에 통합하였 다. 

3. 원천부호를 비 롯하여 프로그람과 그의 문서 화를 인터네 트，전자게 시 판 및 콤퓨 
터봉사와 같은 상업 망들에 서 자유로 리 용할수 있 게 하였 다. 

4. 회 사들에 완전호환성 의 저 가격 상업 판본의 PGP 를 제 공하는데 동의하였 다. 

PGP 는 급격히 발전하면서 현재 널리 리용되고 있다. 많은 원인들이 그 성장의 추 
동력으로 되였다. 

1. DOS/Windows, UNIX, Macintosh 등을 비롯하여 여 러 가동환경들에서 기동 
하는 판본들은 세계적으로 무료로 쓸수 있다. 또한 상업판은 판매자가 생산하는 
제품들에 대한 사용자의 수요를 충족시 킨다. 

2. 광범한 공개조사에서도 생명력이 있고 매우 안전하다고 인정되는 알고리듬에 기초 
한것 이 다. 특히 RSA, DSS 및 Diffie-Hellman 을 공개 열쇠 암호로서 포함한다. 또한 
CAST-128, IDEA 및 3 중 DES 를 전통암호로， SHA-1 을 하쉬부호화로서 포함한다. 

3. PGP 는 파일들과 통보문들을 암호화하는 규격화된 방식을 선택하고 강화하려고 하 
는 회사로부터 인터네트나 다른 망들을 리용하여 세계적범위에서 다른 사람들과 안 
전하게 통신하려는 개별적사람들에 이르기까지 광범한 응용범위를 가진다. 

4. PGP 는 어 떤 정 부나 규격 화기 구에 의하여 개 발되 지 도 않았고 또 그것 들에 의하 
여 조종되지도 않는다. 《재정》에 대하여 본능적으로 의혹을 품는 사람들에게 
는 이것으로 해서 PGP 가 아주 흥미 있다. 
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PGP 의 운영에 대한 개괄로부터 시작하여 암호열쇠들을 창조하고 보관하는 방법을 
본다. 다음에 는 공개열쇠 관리 의 중요한 문제 에 대 하여 고찰한다. 

기호표식 

이 장에서 쓰이는 대부분 기호들은 일부를 제외하고 이전과 갈다. 

Ks = 전통암호방식에서 쓰이는 대화열쇠 

KR a = 공개열쇠 암호방식 에서 쓰이 는 사용자 A 의 비밀 열쇠 

KU a = 공개열쇠 암호방식 에 서 쓰이 는 사용자 A 의 공개열 쇠 

EP = 공개열 쇠암호화함수 

DP = 공개열 쇠 복호화함수 

EC = 비밀열쇠암호화함수 

DC =비밀열쇠복호화함수 

H = 하쉬함수 

II = 련결 

Z = ZIP 알고리듬을 리용한 압축 
R 64 = radix 64 ASCII 형식에로의 변환 

PGP 문서 화의 공개 열 쇠 암호방식 에 서 공개 열 쇠 와 쌍을 이 루는 열 쇠 로서 비 밀 열 쇠 라 
는 말을 자주 쓴다. 앞에서 언급한바와 같이 이것은 전통암호에서 쓰던 비밀열쇠와 혼돈 
을 일으킬수 있다. 따라서 비밀열쇠 (private key ) 라는 용어를 대용한다. 

조작해설 

PGP 의 실지조작은 열쇠관리와 대립되는것으로서 5가지 봉사들 즉 인증，기밀성， 
압축，전자우편의 호환성 및 토막화(표 12-1) 로 구성된다. 그 매개를 차례로 본다. 


표 12-1. _ PGP 봉사의 개괄 


기능 

리용되는 알고리듬들 

해설 

수자서명 

DSS/SHA 또는 
RSA/SHA 

통보문의 하쉬부호는 SHA -1 을 씨서 만돈다. 이 통보 
문의 요약정보는 송신자의 비밀열쇠로 DSS 나 RSA 를 
써서 암호화하며 그 통보문에 포함된다. 

통보문 
암호화 

Diffie-Hellman 이 나 
RSA 를 리용한 
CAST , IDEA 또는 

3열쇠 3중 DES 

통보문은 송신자가 생성한 림시 대화열쇠 로 CAST - 
128이 나 IDEA 또는 3중 DES 를 리 용하여 암호화한다. 
그 대화열쇠는 수신자의 공개열쇠로 Diffie-Hellman 
이 나 KSA 를 씨서 암호화되며 그 통보문에 포함된다. 

압축 

ZIP 

통보문은 보관이 나 전송을 위해 ZIP 로 압축할수 있다. 

전자우편의 

호환성 

Radix 64 -변환 

전자우편응용에 투명 성 을 제 공하기 위해 암호화된 통 
보문은 radix -64 변환을 리용하여 ASCII 문자렬로 변환 
할수 있다. 

토막화 

—— 

PGP 는 최 대통보문크기 제 한을 위하여 토막화와 재 조 
립을 한다. 
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인중 

그림 12-1 의 자 에 PGP 가 게 공하는 수자서 명봉사를 보여 주었 다. 이것 이 10장에서 
고찰되 고 그림 8-5 의 도 에서 보여 준 수자서명방식 이 다. 순서 는 다음과 같다. 

1. 송신자는 통보문을 작성한다. 

2. SHA -1 을 리용하여 그 통보문의 160- bit 하쉬부호를 생성한다. 

3. 그 하쉬 부호는 송신자의 비 밀 열쇠 에 의해 RSA 로 암호화되 며 그 결과는 통보문 
에 부가된다. 

4. 수신자는 RSA 를 리용하여 송신자의 공개열쇠로 복호하며 하쉬부호를 재현한다. 

5. 수신자는 그 통보문에 대한 새로운 하쉬부호를 생성하고 그것을 복호한 하쉬부 
호와 비 교한다. 만일 그 두개 가 일 치하면 그 통보문은 정 당한것 으로 수락된 다. 

SHA -1 과 RSA 를 결 합하면 효과적 인 수자서 명방식 이 제 공된다. RSA 강도로부터 수 
신자는 정 확한 비 밀 열쇠를 가진 사람만이 그 서명 을 생 성할수 있 다는것 을 확신한다. 
SHA -1 의 강도로부터 수신자는 그 하쉬부호로부터 기초통보문의 서명과 일치하는 새 로 
운 통보문을 더는 그 누구도 생성하지 못한다고 확신한다. 

대 안으로서 또한 서명은 DSS / SHA -1 을 리 용하여 생성할수 있다. 

서명이 통보문과 파일에 불어 있는것이 일반적이나 항상 그렇지는 않다. 즉 불어 
있지 않는 서명들이 지원될 때도 있다. 비부가서명은 서명한 통보문과 따로 보관되며 전 
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송될수 있다. 이것은 여러가지 원인으로 하여 필요한 때가 있다. 어떤 사용자는 보내거 
나 받는 모든 통보문들의 개별적서명등록을 하려고 할수 있다. 실행형프로그람의 비부가 
서 명 (detached signature ) 은 이 후의 비 루스감염을 적 발할수 있다. 마지 막으로 비부가서 
명은 한개이상의 대상들이 법적계약과 같은 문서에 서명할 때 리용할수 있다. 매 사람들 
의 서명은 독립이며 따라서 그 문서에만 적용된다. 그렇지 않으면 서명은 문서와 첫번째 
서명에 서명한 두번째 서명자와 다음 서명자들에 의해 차례로 중복된다. 

기밀성 

PGP 가 제 공하는 다른 기 본적 인 봉사는 기밀성 이다. 그것은 통보문들을 암호화하여 
전송하거 나 파일로 국부적 으로 보관하는데 리용한다. 두 경우 다 전통암호알고리듬 
CAST -128 을 리 용한다.그렇 지 않으면 IDEA 나 3중 DES 를 리 용할수도 있 다. 64 -bit 암호 
반결합 ( CFB ) 방식도 리용된다. 

여 기서 열쇠배포문제 가 제 기된다. PGP 에서 는 매 비 밀열쇠 를 한번씩 만 리용한다. 
즉 매개 통보문에 대해 우연 128 -bit 수로서 새 열쇠가 생성된다. 따라서 이것은 문서화에 
서 열쇠로 되는데 그것은 사실상 1회용열쇠이다. 그것이 한번만 쓰이는것이므로 대화열 
쇠는 그 통보문에 포함되 여 그것과 함께 전송된다. 그 열쇠를 보호하기 위하여 수신자의 
공개열쇠 로 암호화한다. 

그림 12-1 의 i • 에 보여 준 그 절차는 다음과 같다. 

1. 송신자는 통보문과 우연 128 -bit 수를 생성하고 

2. CAST _ L 28( 또는 IDEA 혹은 3중 DES ) 을 리용하여 통보문을 암호화한다. 

3. 대 화열쇠 는 수신자의 공개열쇠 에 의하여 RSA 로 암호화되 여 통보문에 첨 부 
된 다. 

4. 수신자는 자기의 비밀열쇠로 복호하여 대화열쇠를 회복한다. 

5. 그 대화열쇠는 그 통보문을 복호하는데 리용된다. 

열 쇠암호화를 위하여 RSA 를 사용하는데 대 한 대 안으로서 PGP 는 디피 -헬만 
( Diffle - Hellman ) 이 라고 하는 선택 항목을 제 공한다. 6장에 서 설 명 한것 처 럼 Diffie - 
Hellman 은 열쇠교환알고리듬이 다. 사실 PGP 는 EIGamal (문제 6. 19를 볼것)로 알려 진 
암호화/복호화를 제공하는 Di 打 ie-Hellman 의 변종을 리용한다. 

몇가지 조사를 진행하였다. 첫째로, 암호처리시간을 줄이기 위하여 전통암호와 공개 
열쇠암호의 결합을 리 용한다. 둘째 로，수신자만이 통보문에 국한되 여 있는 대 화열쇠를 
발견할수 있으므로 공개 열 쇠 알고리 듬에 의 해 대 화열쇠 배 포문제 를 해 결 할수 있 다 . 진행 중 
의 대화는 아직 이야기되지 않았기때문에 6장에서 론의된 형태의 대화열쇠교환규약이 필 
요하지 않다. 

매 개 통보문들은 그것의 열쇠와 일시독립인 사건이 다. 더우기 전자우편의 보관 및 전 
송의 성질이 있으므로 두가지 측면이 같은 대화열쇠를 가진다는것을 인증하는데 접어 드 
는것 은 현실적 이 못된다. 마지 막으로 1회 용상용열쇠의 리 용이 강한 전통암호방법 이 라는 
것을 강조해 둔다. 통보문의 극히 일부만이 매개 열쇠로 암호화되는데 그 열쇠들사이에 
는 관련이 없다. 이 리 하여 공개 열쇠알고리듬이 안전한만큼 전체 방식도 안전하다. 끝으 
로 PGP 는 사용자에게 열쇠크기선택 을 768 bit 로부터 3072 bit 까지의 범위 에서 제공한다 
(서명용 DSS 열쇠는 1024 bit 까지로 제한된다). 
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기밀성과 인중 

그림 12-1 의 도에서 보여 준것처럼 두 형태의 봉사가 한 통보문에 쓰일수 있다. 먼 
저 서명이 평문통보문에 대하여 생성되고 그 통보문에 첨부된다. 다음 서명된 그 평문통 
보문은 CAST -128( 또는 IDEA 혹은 3중 DES ) 로 암호화된다. 대화열쇠는 RSA (또는 
ELGamal ) 로 암호화된다. 그 차례는 반대로 즉 통보문을 암호화하고 다음 암호화된 통 
보문에 대하여 서명을 생성하는것이 더 적합할 때도 있다. 서명을 통보문의 평문과 함께 
보관하는것이 일반적으로 더 편리하다. 

더우기 제3자에 대한 검증에서 서명이 먼저 진행되면 제3자는 그 서명을 검증할 때 
상용열쇠를 리용할 필요가 없다. 

요약하여 말하면 두 봉사가 리용될 때 송신자는 먼저 자기의 비밀열쇠로 통보문에 
서명한 다음 대화열쇠로 그 통보문을 암호화한 다음 그 대화열쇠를 수신자의 공개열쇠로 
암호화한다. 

압축 

기정적으로 PGP 는 서명을 생성하고 암호화하기전에 통보문을 압축한다. 이것은 전 
자우편전송과 파일보관에 서 공간을 절 약하는데 유리하다. 

그림 12-1 에서 압축을 Z 토，푸는것을 Z _1 로 하여 보여 준 압축알고리듬의 배치는 다 
음의 경 우에 위 험하다. 

1. 서명은 두가지 리유로 압축전에 생성된다. 

_0 후에 검증을 위하여 압축되지 않은 통보문을 서명과 함께 보관할수 있도록 
암호화되지 않은 통보문에 서명하는것이 더 낫다. 만일 압축된 문서에 서명 
했다면 후날의 검증을 위해 통보문을 압축한 판본을 보관하거 나 검증이 요 
구될 때 그 통보문의 압축을 풀어야 할 필요가 있게 된다. 

L ) 지 어 검 증을 위해 압축 푼 통보문을 동적 으로 생 성한다면 PGP 의 압축알고 
리듬은 곤난성을 배출한다. 그 알고리듬은 결정적이 아니다. 즉 알고리듬의 
각이한 실현에 의해 실행속도 대 압축비률에서 서로 다르므로 결과 서로 다 
른 압축형식들을 낳는다. 그러나 이 서로 다른 압축알고리듬은 임의의 판본 
의 알고리듬이 어떤 다른 판본의 결과를 정확히 압축할수 있으므로 량립가 
능하다. 하쉬 함수를 적 용하여 압축한 다음 서 명하는것 은 갈은 압축알고리 듬 
에 대한 모든 PGP 개선을 강조한다. 

2. 암호보안을 강화하기 위하여 통보문암호화를 압축후에 진행한다. 압축된 통보문 

은 원래의 평문보다 과잉이 적으므로 암호분석이 더 힘들다. 

압축알고리듬으로서 ZIP 를 리용하는데 이것을 부록 12-1 에 주었다. 


전자우편의 호환성 

PGP 를 리용할 때 적어도 전송할 블로크의 일부는 암호화된다. 만일 서명봉사만 리 
용한다면 그 통보문의 요약정보가 암호화된다(송신자의 비밀열쇠 로).그리고 기밀성봉사 
만을 리 용한다면 서명 을 포함한 통보문이 암호화된다 (1 회 용대 칭열쇠 로) . 이 리하여 결과 
블로크들의 일부 또는 전체는 우연 8- bit 옥레드 ( Octets ) 로 구성된다. 

그러나 많은 전자우편체계들음 ASCII 본문으로 이루어 지는 블로크들만을 리용한다. 
이 제 한을 완화시 키 기 위해 PGP 는 8 bit 의 2진렬을 인쇄 가능한 ASCII 문자들의 렬로 보 
관하는 봉사를 제공한다. 
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그에 리용되는 방식 이 radix -64 변환이다. 2진자료의 세 옥테트들중에서 매개는 4개 
의 ASCII 문자들에 대응된다. 이 형식에 역시 전송오유를 검출하기 위해 CRC 을 덧단다. 
부록 12-2 에 자세히 서술되였다. 

Radix 64 를 리용하면 통보문을 33%까지 확장한다. 다행 히도 대화열쇠와 그 통보문의 
서 명 부분이 상대 적 으로 조밀 하고 평문통보문은 압축된 다. 사실 압축은 radix -64 확장을 
보장하고도 남는다. 실례 로 [ HELD 96] 에서 는 ZIP 를 리용하여 평 균 약 2.0 의 압축비률 
을 엄는다. 비교적 작은 서명과 열쇠부분들을 무시하면 일반적으로 길이가 표인 파일의 
압축과 확장의 전반적효과는 1.33 X 0.5 XX =0.665 X 이 다. 따라서 총적 으로 약 3분의 1이 
압축된다. 

Radix -64 알고리듬에서 한가지 주목할만 한 점은 그것의 입력이 ASCII 본문이라고 
해도 입력흐름을 내용에 관계없이 radix -64 형식으로 맹목적으로 변환한다는것이다. 따 
라서 통보문이 서명은 되고 암호화되지 않은채로 변환이 전체 블로크에 적용되면 그 출 
력은 다른 사람은 읽을수 없는데 이것은 일정한 수준의 기밀성을 제공한다. 또한 PGP 
는 서명된 평문통보문의 서명부분만을 radix -64 형식으로 변환할수 있도록 구성되였다. 
이것은 PGP 를 쓰지 않고 수신자가 그 통보문을 읽을수 있게 한다. 그러나 여전히 PGP 
는 서명을 검증하는데 리용할수 있다. 

그림 12-2 에 지금까지 론의된 4가지 봉사들사이의 호상관계를 보여 주었다. 전송에서 
서명 이 요구되면 그것을 압축된 평문의 하쉬부호를 리용하여 생성한다. 그때 평문과만일 
있다면 서명까지 합치여 압축한다. 다음 기밀성이 요구되면 블로크(압축된 평문이나 서명 
에 평문을 합치 여 압축한것 )를 암호화하고 공개열쇠 로 암호화된 상용암호열쇠 를 첨 부 



그림 12-2. PGP 통보문들의 전송과 수4 
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한다. 마지막으로 전체 블로크를 radix -64 형식으로 변환한다. 

수신측에서는 들어 온 블로크를 먼저 radix -64 형식으로 다시 변환된다. 

다음 그 통보문이 암호화되였으면 수신자는 대화열쇠를 회복하고 통보문을 복호한다. 
그리고 결과블로크의 압축을 풀기한다. 그 통보문이 서명되였으면 수신자는 전송된 하쉬 
부호를 회복하여 그것을 자기 가 계산한 하쉬부호와 비 교한다. 


토막화와 재조립 

전자우편수단들은 최 대통보문길 이를 제 한한다. 실례 로 인터네 트에서 접 근할수 있는 
수단들에는 50000옥레 드의 최 대 길 이 가 부여 된 다. 이 것 보다 더 긴 통보문들은 토막들로 
분할되여 그 매개를 따로따로 전송한다. 

이 제한을 도모하기 위하여 PGP 는 자동적으로 너무 큰 통보문을 전자우편으로 보 
낼수 있도록 충분히 작은 토막들로 나눈다. 토막화는 radix -64 변환을 포함하여 다른 모 
든 처리들이 끝난 다음에 진행된다. 따라서 대화열쇠요소와 서명요소는 첫 토막의 시작 
에 한번씩 만 나타난다. 수신마지 막에 PGP 는 전자우편머 리 부들을 모두 해 제하여 그림 
12-2 의 1• 에서 설명한 단계 들을 실행 하기 전에 전체 초기 블로크들을 재 조립해 야 한다. 

암호열쇠와 열쇠고리 

PGP 는 4가지 형태의 열쇠들 즉 1희대화용상용열쇠，공개열쇠，비밀열쇠 및 통과단 
계형식의 비밀열쇠들이다. 이 열쇠들에 대하여 세개의 독립적인 요구조건들이 나온다. 

1. 예 측 불가능한 대 화열 쇠 를 생 성하는 방법 이 필 요하다. 

2. 한명의 사용자가 다중공개열쇠/비 밀 열쇠쌍을 가진다고 하자. 그 리유는 사용자 
가 자기의 열쇠쌍을 때에 따라서 바꾸러고 하기때문이 다. 그렇게 되면 관흐름에 
서 임의의 통보문은 페멸된 열쇠로 만들어 진다. 더우기 수신자들은 갱신이 그 
들에 게 알려 질 때 까지 낡은 공개열쇠밖에 모른다. 열쇠 들을 시 간에 따라 변화 
시 킬 필요외 에 사용자는 주어 진 시 간에 서 로 다른 기 자그룹들과 대 화를 진행하 
거나 간단히 임의의 한 열쇠로 암호화된 자료량을 제한하여 보안을 강화하기 위 
하여 다중열쇠쌍들을 가지려고 한다. 이 모든것으로부터 사용자들과 그들의 공 
개열쇠들사이 에서 1대1대 응이 성 립되지 않는다. 따라서 개 별적 인 열쇠들을 식 별 
하는 어떤 방법 이 필요하다. 

3. 매 PGP 실체 는 기 자들의 공개열쇠파일과 마찬가지 로 자기의 공개열쇠/비 밀 열쇠 
쌍들의 파일을 보관해 야 한다. 

이제 그 요구들을 차례 로 보자. 


대화열쇠생성 

매 대 화열 쇠 는 하나의 통보문과 관련되 며 그 통보문을 암호화 및 복호하기 위하여 서 
만 리 용된다. 통보문암호화/복호는 대 칭암호알고리 듬으로 진행한다. CAST -128 과 
IDEA 는 128- bit 열 쇠 를 리 용하며 3중 DES 는 168- bit 열 쇠 를 리 용한다. 다음의 론의 는 
CAST -128 을 가정 하고 진행한다. 

우연 128 bit 의 수들은 CAST -128 자체를 리용하여 생성한다. 우연수발생 기의 입 력은 
128- bit 열쇠와 암호화할 평문으로 취급되는 두개의 64- bit 암호문블로크들을 만드는데 그것 
은 128- bit 대화열쇠를 만드는데 련결된다. 리용되는 알고리듬은 ANSI X 12.17 에 기초한다. 
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두개의 64 -bit 블로크들로 구성되는 우연수발생기의 "평문"입력은 128 bit 의 우연수들 
의 렬로부터 유도된다. 이 수들음 사용자의 건누름에 기초한다. 건누름시간측정과 실제 
의 건눌림은 둘다 우연렬을 생성하는데 리용된다. 따라서 만일 사용자가 임의의 열쇠를 
자기의 보통속도에 맞추면 합리적으로 "우연”인 입력이 생성된다. 또한 이 우연입력은 
CAST -128 의 전단계 대화열쇠출력과 결합하여 발생기의 열쇠입 력을 창조한다. CAST - 
128의 효과적 인 짜임 이 주어 지면 그 결과는 예 측 불가능한 대 화열쇠들의 렬을 생성한다. 
부록 12-3 에 PGP 우연수생성기술이 보다 상세히 소개되였다. 


열쇠식별자 

암호화된 통보문은 리용된 대화열쇠의 암호화된 형식을 동반한다. 대화열쇠 그자체 
는 수신자의 공개열쇠 로 암호화된다. 

따라서 정당한 수신자만이 대화열쇠를 회복할수 있으며 나아가서 통보문을 복호할수 
있다. 만일 매 사용자가 하나의 공개/비 밀 열쇠쌍을 리용한다면 수신자는 자기의 유일 한 
비밀열쇠인 대화열쇠를 복호하는데 어느 열쇠를 사용하겠는가를 다른 정보가 없이도 결정 
한다. 그러나 임의의 주어 진 사용자가 다중공개열쇠/비밀열쇠쌍들을 가질수 있다고 하자. 

그러면 수신자는 대화열쇠를 암호화하는데 어느 공개열쇠가 리용되였는가를 어떻게 
알겠는가? 

한가지 방법은 공개열쇠를 통보문과 함게 전송하는것 이 다. 그러면 수신자는 이것 이 
정 말 그 공개열쇠 인가를 검 증하고 복호를 진행할수 있 다. 이 방식 은 동작할수는 있지 만 
공간랑비 가 불필요하게 많다. RSA 공개열쇠 는 수십 자리 의 십 진수이다. 다른 방도는 기 
껏 한명의 사용자에게 유일한 매 공개열쇠들에 식별자를 관련시키는것이다. 즉 사용자 
ID 와 열쇠 ID 의 결합은 열쇠를 유일하게 확인하는데 충분하다. 그러면 훨씬 더 짧은 열 
쇠 ID 만을 전송하면 된다. 그러나 이 방도는 관리 및 부가금문제를 일으킨다. 즉 열쇠 
ID 들은 송신자와 수신자가 둘다 열쇠 ID 로부터 공개열쇠를 엄을수 있도록 보관되여야 한 
다. 이것은 불필요한 부담일수 있다. 

PGP 에 대 한 해 결방도는 매 개 공개열쇠 에 열쇠 ID 를 할당하는것 이 다. 매 개 공개열 
쇠와 관련한 열쇠 id 는 그것의 최소의미 있는 64 bit 로 이루어 진다. 즉 공개열쇠 KUa 
의 열쇠 ID 는 (KUa mod 2 64 )이다. 이것은 열쇠가 반복될 확률이 매우 작은 충분한 길 
이 이 다. 

또한 열쇠 ID 는 PGP 수자서 명 에도 요구된다. 송신자가 여 러개의 비밀열쇠 들중의 하 
나를 리용하여 통보문요약정보를 암호화하므로 수신측은 어느 열쇠가 쓰이였는가를 알아 
야 한다. 따라서 통보문의 수자서 명 요소는 대 응하는 공개열쇠 의 열쇠 ID 를 포함한다. 그 
통보문을 수신하면 수신측은 그 열쇠 ID 가 해 당 송신자에 게서 받은 공개열쇠 라는것을 검 
증한 다음에 서명을 검증한다. 

열쇠 ID 의 개 념을 도입 하였으므로 통보문전송형식을 더 자세히 볼수 있다(그림 12- 
3). 통보문은 세 요소 즉 통보문요소，서 명 (선택적 ) 및 대 화열쇠 요소(선택 적 )들로 이 루 
어 진다. 

통보문요소는 파일이름이나 창조시간을 서술한 시간도장이나 보관 또는 전송될 실지 
의 자료를 포함한다. 
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내용 


조작 


대 4 열최 

요소 ᅮ 


수신자공개열쇠 
(KU b ) 의 열쇠 ID 

대화열쇠 (K s ) 

t E KUb 


서명 


시 식 

송신자공개열쇠 
(KU a ) 의 열쇠 ID 
통보문요약정보의 

볘드文 융 3. 

통보문요약정보 

卜 





파일이름 

시^]■표식 


ZIP 

Ek, 

통보문 


료 





기 호표시 

EKUb = 사용자 건의 비밀열쇠로 암호화 
EKuai 사용자 a 의 공개 열쇠 로 암호화 
E Ks =대화열쇠로 암호화 
ZIP = Zip 압축함수 
R 64 = Radlx -64 변환함수 

그림 12-3. PGP 통보문의 일반적인 형식 


서명요소는 다음의 요소들을 포함한다. 

• 시간도장 : 그 서명이 생성된 시간 

• 통보문요약정 보 : 송신자의 전용서 명열쇠 로 암호화된 160 -bit SHA -1 요약정 보. 
요약정 보는 통보문요소의 자료부분에 련결된 서 명 시 간도장에 대 하여 계 산된다. 
요약정 보에 서 명 시 간도장을 포함시 키 는것 은 재 연 (반복)들에 대 처 하기 위 해 서 이 
다. 통보문요소의 파일이름과 시간도장부분들을 뺀것은 부가하지 않은 서명이 
그 통보문의 머리부에 부가된 서명과 꼭 같다는것을 담보한다. 부가되지 않은 
서명들은 아무런 통보문요소의 머리부파일들을 가지지 않는 개별적파일들에 대 
하여 계산된다. 

• 통보문요약정보의 두 선두옥레드 : 수신측이 정확한 공개열쇠가 통보문요약정보 
를 복호하는데 쓰이 였는가를 결정할수 있게 하기 위 해 첫 두개 의 옥레 드의 평 














문복사를 복호할 요약정보의 첫 두개의 옥레드와 비교한다. 이 옥레드들은 통 
보문에 대한 16- bit 프레임-검사렬로도 리용된다. 

• 송신자공개열쇠의 열쇠 ID : 통보문요약정보를 복호하는데 쓰이는 공개열쇠를 식별 
하고 여기로부터 그 통보문요약정보를 암호하는데 쓰였던 비밀열쇠을 식별한다. 

통보문요소와 선택적서 명요소는 ZIP 로 압축되며 대화열쇠로 암호화된다. 

대 화열쇠 요소는 대 화열쇠 와 그것 을 암호화하는데 송신자가 리용한 수신측의 공개열 
쇠의 식별자를 포함한다. 전체 블로크들은 보통 radix -64 부호로 암호화된다. 

열쇠고리 

앞에서 열쇠 ID 들이 PGP 조작에 어떻게 위험하며 기밀성과 인증을 제공하는 임의의 
PGP 통보문에 두개의 열쇠 ID 가 어떻게 포함되는가를 보았다. 모든 대방들은 효률적이고 
효과적 인 리용을 위하여 체계적 인 방법으로 이 열쇠들을 보관 및 조직화할 필요가 있다. 
PGP 에 서 리용되 는 방식 은 매 마디 에 한쌍의 자료구조를 제 공하는데 하나는 그 마디 에 
부여된 공개열쇠/비밀열쇠쌍을 보관하는 자체구조이고 다른것은 그 마디에 알려 진 다른 
사용자들의 공개열쇠 를 보관하는 자료구조이 다. 이 자료구조들을 각각 비밀 열쇠고리와 
공개열쇠 고리라고 부론다. 


시 간도장 

열쇠 ID* 

공개 열쇠 

암호화된 비밀 
열쇠 

사용자 

ID* 

; ; ; ; ; 

1 기 

KU,mod2 64 

KUi 

e h ( p ;) [ kr ; _] 

사용자； 

LJ _ : _:_ : _ LJ 


비밀열쇠고리 


시간도장 열쇠 ID * 。열 11 쇠 


T ； KU , mod 2 64 KU ； 


사용자 서명시유 

소유자신용 열 쇠합법 성 서 명 ( S ) 1 


신용 _ flag ,' 사용자,' 신용 _ flag ,- 


공개열쇠고리 

그림 12-4. 비밀열쇠 및 공개열쇠고리의 일반구조 


그림 12-4 에 비밀열쇠고리의 일반구조를 보여 주었다. 고리를 표화하여 볼수 있는데 
거 기서 매 렬은 사용자에 게 부여된 공개열쇠/비밀열쇠쌍들의 하나를 표현한다. 매 렬 에 
는 다음의것들이 포함된다. 
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• 시간도장: 이 열쇠쌍이 생성된 날자/시간 

• 열쇠 ID : 공개열쇠의 최소의미 있는 64 bit 

• 공개열쇠 : 그 쌍의 공개열쇠부분 

• 비밀열쇠 : 그 쌍의 비밀열쇠부분으로서 이 마당은 암호화된다. 

• 사용자 ID : 일반적으로 이것은 사용자의 전자우편주소(실례로 @ acm . org ) 이다. 
그러나 사용자는 매개 쌍들에 서로 다른 이름을 관련시켜 선택하거나 갈은 사 
용자의 ID 를 한번이상 재 리용할수 있다. 

비밀 열쇠 고리 는 사용자 ID 나 열쇠 ID 로 지 적할수 있다. 후에 두가지 지 정 방법 에 대 한 
필요성을 본다. 

비밀열쇠고리가 열쇠쌍들을 창조하여 소유하고 있는 사용자의 를퓨터에만 보관되고 
그 사용자에게만 접근가능하다고 할지라도 비밀열쇠의 값을 될수록 안전하게 하는것이 
의미가 있다. 따라서 비밀열쇠 그자체는 열쇠고리에 보관되지 않는다. 오히려 이 열쇠는 
CASR -128 C 또는 IDEA 나 3중 DES ) 에 의해 암호화된다. 그 절 차는 다음과 같다. 

1. 사용자는 비 밀 열쇠 들을 암호화하는데 리 용하는 통과단계 를 선택한다. 

2. 체계가 RSA 를 리용하여 새로운 공개열쇠/비밀열쇠쌍을 생성할 때 체계는 사용 
자에게 통과단계를 요구한다. SHA -1 을 리용하여 160 -bit 하쉬부호가 통과단계 로 
부터 생성되며 다음 그 통과단계는 제거된다. 

3. 체계는 128 bit 의 하쉬부호를 열쇠로 하는 CAST -128 을 씨서 비밀열쇠를 암호화 
한다. 다음 그 하쉬 부호는 삭제 되 고 암호화된 비 밀 열쇠 는 비 밀 열쇠고리 에 보관 
된 다. 

따라서 사용자가 비 밀 열쇠 을 찾으러 고 비 밀 열쇠고리 에 접 근할 때 그는 통과단계 를 
제 공하여 야 한다. PGP 는 암호화된 비밀 열쇠 을 회 복하고 통과단계 의 하쉬 부호를 생성하 
며 CAST -128 에 의해 하쉬 부호로 씨 서 암호화한 비 밀 열쇠고리 를 복호한다. 

이것은 매우 치밀하며 효과적인 방식이다. 통과암호에 기초한 임의의 체계들에서와 
같이 이 체계의 안전성은 그 통과암호의 안전성에 의존한다. 유혹물이 섞여 드는것을 피 
하기 위하여 사용자는 쉽 게 추측할수는 없지 만 쉽 게 기 억 할수 있는 통과단계 를 사용해 야 
한다. 

그림 12-4 에 공개열쇠 고리 의 일 반구조도 보여 주었 다. 이 자료구조는 자기 가 아는 
다른 사용자들의 공개열쇠 를 보관하는데 리 용된다. 그 표에서 다음의 일부 마당들만을 
고찰하자. 

• 시간도장: 이 기입이 생성된 날자/시간 

• 열쇠 ID : 이 기입에 대하여 공개열쇠의 최소의미 있는 64 bit 

• 공개열쇠: 이 기입에 대한 공개열쇠 

• 사용자 ID : 이 열쇠 의 소유자. 여 러 개의 사용자 ID 들이 한개의 공개열쇠 에 관련 
될수 있다. 

공개열쇠 고리 는 사용자 ID 와 열쇠 ID 에 의해 지 적할수 있 다. 암호화의 두 수법 의 필 
요성에 대하여서는 뒤에서 고찰한다. 

이제는 이 열쇠고리들이 통보문전송과 수신에 어떻게 쓰이는가를 밝혀야 한다. 간단 
히 하기 위하여 다음의 론의 들에 서 압축과 ra dix -64 변환은 무시한다. 먼저 통보문전송 
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을 고찰하는데 (그림 12-5) 그 통보문을 서명한 다음 암호화한다고 가정한다. 송신하는 
PGP 실체는 다음의 단계들을 수행한다. 

1. 통보문서명 

가) PGP 는 첨수로서 your _ userid 를 리용하여 비밀열쇠고리로부터 송신자의 비 
밀열쇠를 회복한다. 만 g your _ userid 가 지령으로 제공되지 않았다면 그 고 
리우의 첫 비밀열쇠가 회복된다. 

l ) PGP 는 비밀열쇠를 회복하기 위해 사용자에게 통과단계를 재촉한다. 
n ) 통보문의 서명요소가 구성된다. 

2. 통보문암호화 

1) PGP 는 대 화열 쇠 를 생 성하여 통보문을 암호화한다. 

l ) PGP 는 her _ userid 를 첨 수로 리 용하여 공개열 쇠 고리 로부터 수신측의 공개 
열쇠을 찾는다. 

t ) 통보문의 대화열쇠요소가 구성된다. 


공개열솨고_리 



그림 12-5. PGP 통보문생 성 ( A — B : 압축이 나 Radix -64 변환은 없 다. ) 


수신 PGP 실체는 다음의 단계들을 실행 한다(그림 12-6). 

1. 동보문복호 

1) PGP 는 통보문의 대화열쇠요소의 열쇠 ID 마당을 첨수로 리용하여 비밀열쇠고 
리로부터 수신자의 비밀열쇠를 회복한다. 
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2) PGP 는 암호화되 지 않은 비밀 열쇠 를 회 복하기 위해 사용자에 게 통과단계 를 
재촉한다. 

3) 다음 PGP 는 대화열쇠를 회복하며 그 통보문을 복호한다. 

2. 동보문인증 

1) PGP 는 통보문의 서 명열쇠 요소에 서 열쇠 ID 마당을 첨수로 리용하여 공개열쇠 
고리 로부터 송신자의 공개열쇠 를 회 복한다. 

2) PGP 는 전송된 통보문요약정보를 회복한다. 

3) PGP 는 수신된 통보문에 대 하여 그 통보문요약정보를 계산하고 그것을 전송 
된 통보문요약정보와 비교하여 인증한다. 



그림 12-6. PGP 통보문수신 ( A — B : 압축이나 radix -64 변환은 없다.) 


공개열쇠관리 

지금까지의 론의로부터 알수 있는것처럼 PGP 는 기묘하고 능률적이며 서로 득 맞물 
린 기능들의 모임과 유효한 기밀성과 인증봉사를 제공하는 형식들을 포함한다. 체계를 
완결 짓기 위하여 공개열쇠를 관리하는 마지막령역을 소개한다. PGP 문서화는 이령역 
의 중요성을 놓치지 않는다. 

가로채기로부터 공개열쇠들을 보호하는 이 모든 처리들은 실제 공개열쇠응용들에서 
가장 힘 든 유일 한 문제 이 다. 그것 은 공개 열쇠암호의 "Achilles heel ’’ 이 며 많은 쏘프트웨 
어복잡성은 이 하나의 문제를 푸는데 기인한다. 
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PGP 는 리 용할수 있는 몇개의 제 안된 선택 들에 의하여 이 문제 를 푸는 구조를 제 공 
한다. PGP 는 여러가지의 형식적 및 비형식적환경들을 리용하도록 되여 있으므로 이 장 
의 뒤 에서 S/MIME 의 론의 에서 보게 되 는것과 같이 확정된 공개열쇠 관리방식 을 설정할 
수 없다. 

공개열쇠 관리 에 대 한 입 문 

문제 의 본질은 다음과 갈다. 사용자 A 는 PGP 를 리용하여 다른 사람들과 대 화하 
기 위하여 그들의 공개열쇠 들을 포함하는 공개열쇠 고리 를 창조한다. A 의 열쇠 고리 에 
B 의 공개열쇠 가 포함되 며 그 열쇠 는 사실상 C 가 준것 이 라고 가정한다. 이 런 현상은 
실례 로 A 가 공개 열쇠 를 보내 기 위 하여 묘가 사용한 게시판광고체계 (BBS) 로부터 그 열 
쇠를 엄을 때 생긴다. 그 결과에는 두개의 위험이 존재하게 된다. 첫째로， C 는 통보 
문을 A 에게 보내여 A 가 그 통보문이 B 에게서 온것으로 받아 들이도록 묘의 서명을 위 
조할수 있다. 둘째로, A 로부터 B 로 전송되는 다른 임의의 암호화된 통보문을 C 가 읽 
을수 있다. 

사용자의 공개 열쇠 고리 에 거 짓 공개 열쇠 가 포함될 위 험 을 최 소화하는 많은 방법 들이 
있을수 있다. A 가 B 에 대 한 믿을만한 공개열쇠를 엄 으려 고 한다고 가정한다. 그때의 몇 
가지 방법들은 다음과 갈다. 

1. 물리 적 으로 B 로부터 열쇠 를 엄 는다. B 는 플로피 디 스크에 자기 의 공개열쇠 
(KU b ) 를 기 억시키 고 그것 을 A 에 게 넘 겨 줄수 있 다. A 는 그 열쇠 를 자기 의 체 
계에 그 플로피디스크로부터 태운다. 이것은 매우 안전한 방법이지만 실천적제 
한들이 있다. 

2. 전화로 열쇠 를 검증한다. A 가 전화로 묘를 인식할수 있으면 A 는 B 를 찾아 그에 
게 전화로 radix-64 형식으로 열쇠를 지적할것을 요구한다. 더 현실적인 방안으로 
서 묘는 자기의 열쇠를 전자우편으로 A 에게 보낸다. A 는 PGP 로 그 열쇠의 160 - 
bitSHA-1 요약정보를 만들고 그것을 16진수형식 으로 현시할수 있다. 이것을 열쇠 
의 《지문》이라고 부론다. 다음 A 는 묘를 호출하고 그에게 전화로 그 지문을 불 
러 줄것 을 요구할수 있 다. 만일 그 두개 의 지 문이 일 치하면 열쇠 는 검 증된다. 

3. 호상 신용되 는 대 상 D 로부터 묘의 공개열쇠 를 얻 는다. 이 를 위하여 안내 자 D 는 
서명된 증명서를 만든다. 그 증명서는 묘의 공개열쇠，그 열쇠의 창조시간，그 
열쇠의 유효성주기를 포함한다. D 는 이 증명서의 SHA-1 요약정보를 생성하고 그 
것을 자기의 비밀열쇠로 암호화하여 그 증명서에 대한 서명에 부친다. D 만이 그 
서명을 창조할수 있으므로 그밖의 누구도 거짓공개열쇠을 만들어 그것 이 D 가 서 
명한것처 럼 할수 없다. 서명된 증명서는 직 접 B 나 D 가 A 에게 보내거 나 전자게 
시판상에서 전송할수 있다. 

4. 신용되 는 증명 국으로부터 묘의 공개열쇠 를 얻 는다. 다시 공개열쇠 증명서 가 그 국 
에 의해 창조되고 서명된다. 다음 A 는 국에 사용자이름을 제공하고 서명된 증명 
서를 받을수 있다. 

3과 4의 경 우에 대 하여 A 는 안내 자의 공개열쇠 의 복사를 가지 고 그것 이 정 당하다는 
것 을 확신하여 야 한다. 종국적 으로 안내 자로 활동하는 사람에 게 신용수준을 부여하는것 
은 A 의 책 임 이 다. 
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신용의 리용 

PGP 는 증명국이 나 신용을 창설하는데 필요한 아무런 명세서도 포함하지 않지 만 신 
용을 리용하고 신용에 공개열쇠들을 련관시키고 신용정보를 람색하는 편리한 방법들을 
제공한다. 

기본구조는 다음과 갈다. 공개열쇠고리에서 매 입력은 앞의 소절에서 설명한것처럼 
공개열쇠증명서이다. 이러한 매 입력들은 PGP 가 이것이 그 사용자에게 정당한 공개열 
쇠 이라는것을 믿는 범위를 지적하는 열쇠합법성 마당에 관련된다. 즉 믿음성수준이 높으 
면 높을수록 사용자 ID 는 그 열쇠에 더 강하게 속박된다. 이 마당은 입력의 서명신용마 
당들의 모임으로부터 유도된다. 마지막으로 매개 입력들은 특정의 소유자와 관련한 공개 
열쇠 를 정의 하며 이 공개열쇠 에는 다른 공개열쇠증명서들에 서 명하는데 신용되는 정도를 
가리 키 는 소유자신용 마당이 포함된 다. 즉 이 수준의 신용은 사용자에 의하여 부여 된 다. 
서 명신용마당들을 다른 입 력 으로부터 소유자신용마당의 캐 시 된 복사라고 생 각할수 있 다. 

앞절에서 언급한 세개의 마당들은 신용기 발바이트라고 부르는 구조에 각각 포함된다. 
이 세개의 매 리 용에 대 한 신용기 발의 내 용을 표 12-2 에 보여 주었다. 


표 12-2. _ 신용기발바이트의 내용 


공개 열 쇠 소유자에 게 부여 된 
신용 

(열쇠과케트다음에 나타난 
다. 사용자가 정의) 

공개열 쇠 /사용자 ID 쌍에 부여 
된 신용 

(사용자 ID 파케트뒤에 있다. 
PGP 에 의한 계 산) 

서명에 부여된 신용 
(서 명 묶음다음에 놓인다.이 서 
명 자에 대 한 OWNERTRUST 
의 캐시된 복사) 

OWNERTRUST 마당 

- 정의되지 않은 신용 

- 알려 지지 않은 사용자 

- 다음 열쇠들을 서명하 
는데 보통 신용되지 않 
는다. 

- 다른 열쇠들을 서명하 
는데 항상 신용핀다. 

- 이 열쇠는 비밀열쇠고 
리 에 존재한다. 

BUCKSTOP 비 트 

- 이 열쇠가 비밀열쇠고 
리에 나 타나 면 설정 
핀다. 

KEYLEGIT 마당 

- 알려 지지 않거나 정의 
되지 않은 신용 

- 신용되지 않은 열쇠소 
유권 

- 열쇠소유권에 대한 별 
도의 신용 

- 열쇠소유권에 대한 완 
전신용 

WARNONLY 비트 

- 완전유효성검증이 되 
지 않은 열솨가 암호 
화에 리용될 때 사용 
자에 게 경 고만을 위해 
설정된다. 

SIGTRUST 마당 

- 정의되지 않은 신용 

- 알려 지지 않은 사용자 

- 흔히 다른 열쇠들로 서명 
하는데 신용되지 않는다. 

- 항상 다른 열쇠들로 서명 
하는데 신용된다. 

- 이 열쇠 는 비밀열쇠고리 
에 있다(최종신용). 

CONTIG 비트 

- 서명 에 의 해 련속적 인 신 
용증명경로가 최종적으로 
신용된 열쇠고리소유자에 
게 되돌이인도될 때 설정 
핀다. 


사용자 A 의 공개열쇠 고리를 취급한다고 가정 하자. 이때 그 신용처 리조작을 다음과 
같이 서술할수 있다. 


1. A 가 세 공개열쇠를 공개 열쇠 고리 에 삽입할 때 PGP 는 이 공개열쇠 들의 소유자와 
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관련한 신용기 발에 어떤 값들을 할당하여 야 한다. 소유자가 A 이 고 따라서 이 공개 
열쇠가 비밀열쇠고리에도 있으면 최종신용의 값은 자동적으로 신용마당에 할당된 
다. 그렇지 않고 PGP 가 A 에게 이 열쇠의 소유자에게 할당될 신용에 대 한 그의 평 
가를 요구하면 A 는 요구하는 수준을 넣 어 야 한다. 사용자는 이 소유자를 알지 못 
한다，믿지 못한다，겨우 믿는다 또는 완전히 믿는다는 등으로 특징 지울수 있다. 

2. 새 로운 공개열쇠 가 들어 가면 하나 또는 그 이상의 서명들이 거기 에 붙을수 있다. 
후에 몇개의 서명들이 더 부과될수도 있다. 어떤 서명이 입력에 삽입될 때 PGP 
는 공개열쇠 고리를 탐색하여 이 서명의 발행 자가 알려 진 공개열쇠소유자들속에 
있는가를 본다.만일 그렇다면 그 소유자에 대한 OWNERTRUST 값이 이 서명의 
SIG 신용마당에 부여 된다. 그렇지 않으면 unknownuser 값이 부여된다. 

3. 열쇠 정 당성 마당의 값은 이 입 력 에 존재 하는 서 명 신용마당에 기 초하여 계 산된 다. 
만일 적 어도 하나의 서명 이 최 종의 서명신용값을 가지 면 열쇠 정 당성 마당값은 완 
전히 설정된다. 1/ X 의 무게는 항상 신용되는 서명들에 주어 지며 1/ Y 의 무게는 
보통 신용되는 서명들에 주어 진다. 여 기서 표와 모는 사용자-구성가능파라메터들 
이다. 열쇠/사용자결합의 안내자들의 전체 무게가 1에 도달하면 속박은 믿을만 
하다고 인정되며 열쇠정당성값은 완전히 설정된다. 이리하여 최종신용이 없이 늘 
신용되는 X 개의 서명들이 나 보통 신용되는 Y 개의 서명들 또는 일부 결합이 필요 
하게 된다. 



그림 12-7. PGP 신용모형실례 
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주기적 으로 PGP 는 공개열쇠 고리를 처 리하여 일 치성 을 보장한다. 이것은 본질적으 
로 내리처리과정이다.매개 OWNERTRUST 마당들에 대하여 PGP 는 그 소유자에 의해 
보증된 모든 서명들에 대해 고리를 조사하고 OWNERTRUST 마당과 같은 SIG 신용마당 
을 갱신한다. 이 과정은 최종신용이 있는 열쇠들로부터 시작된다. 다음 모든 
KEYLEGIT 마당들은 부가된 서명들에 기초하여 계산된다. 

그림 12-7 에 서명신용과 열쇠정당성의 관련방식에 대한 실례를 주었다. 그림에는 공 
개열쇠 고리의 구조를 보여 주었다.사용자는 여 러개의 공개열쇠들을 알고 있는데 일부는 
그 소유자들로부터 직 접 알며 일 부는 열 쇠봉사기 와 같은 계 3자로부터 안다. 

“ You ” 로 표시된 마디는 그 사용자에 대 응하는 공개열쇠고리에로의 입 력을 의미한 
다. 이 열쇠는 합법적이며 OWNERTRUST 값은 최종신용이 다. 열쇠고리의 서로 다른 
매 마디 들은 사용자에 의해 어 떤 다른 값들이 할당되 지 않는 한 정 의 되지 않은 
OWNERTRUST 을 가진다. 이 실례 에서 사용자는 다른 열쇠 들에 서명 하기 위해 다음의 
사용자들 즉 D , E , 표를 항상 믿는다고 하였다. 사용자는 다른 열쇠들에 서명 하기 위해 
사용자 A 와 묘를 부분적으로 신용한다. 

따라서 그림 12-7 에서 마디들의 어둡고밝은 정도는 이 사용자에 의해서 부여 되는 신 
용수준을 가리킨다. 그 나무구조는 어느 열쇠들이 어떤 다른 사용자들에 의해 서명되는 
가를 가리킨다. 만일 어떤 열쇠 가 그것 을 열쇠 고리 에 가지 고 있는 사용자에 의 해 서명된 
다면 화살표식은 서명된 열쇠를 그 서명자에게 련결한다. 만일 열쇠가 그것을 열쇠고리 
에 가지 고 있지 않는 사용자에 의해 서명된다면 화살표식 은 서 명된 열쇠를 물음표에 련 
결 한다. 

몇가지 문제들을 그림 12-7 에서 례증하였다. 

1. 이 사용자에 의해 완전히 또는 부분적 으로 신용되 는 소유자들의 모든 열쇠 들은 마 
디 L 을 내 놓고 그 사용자에 의해 서 명된다는것 을 주의해 둔다. 마디 L 의 존재 가 
가리 키 는것 처 럼 이 러 한 사용자서 명 은 항상 필 요한것 은 아니 지 만 현실 에 서 대 부분 
의 사용자들은 자기 들이 신용하는 대 부분의 소유자들의 열쇠 들에 서 명할수 있 다. 
실례 로 묘의 열쇠 가 신용되 는 안내 자 표에 의해 이 미 서 명 되 였는데 도 그 사용자는 
바로 E 의 열쇠를 선택하여 서명한다. 

2. 어떤 열쇠를 확인하는데 두개의 부분적으로 신용되는 서명들이면 충분하다고 가정 
한다.여 기 로부터 사용자 묘의 열쇠는 부분적 으로 신용되는 A 와 묘에 의해 서명되 
였 으므로 PGP 에 의해 합법 적 이 라고 간주한다. 

3. 열쇠 는 완전히 신용되 는 한명 또는 두명 의 부분적 으로 신용되 는 서 명 자들에 의해 
서 명 되 면 합법 적 이 라고 결정 되 지 만 그 사용자는 다른 열쇠 들에 서 명 하는데 신용되 
지 않을수도 있다. 실례로 자의 열쇠는 사용자가 신용하는 묘에 의해 서명되므로 
정 당하지 만 N 에 그 신용값을 할당하지 않았으므로 다른 열쇠 들에 서 명하는데 신용 
되 지 않는다. 따라서 묘의 열쇠 가 N 에 의해 서 명된다고 해 도 PGP 는 묘의 열쇠 가 
합법적이라고 간주하지 않는다. 만일 개인통보문을 어떤 개별적사람에게 보내려고 
한다면 모든 측면에서 그 사람을 믿지 않아도 된다. 다만 그 사람에 대해 정확한 
공개 열쇠을 가지고 있다는것만을 확신하는것이 필요하다. 

4. 그림 12-7 에 두개의 알려 지지 않은 서명을 가지는 분리된 《고아》마디 S 의 실례 
를 보여 주었다. 이러한 열쇠는 열쇠봉사기로부터 엄을수 있다. PGP 는 이 열쇠가 
공개 된 봉사기 로부터 입 수한것 이 므로 쉽 게 합법 적 이 라고 가정할수 없 다. 그 사용 
자는 열쇠 에 서 명하거 나 PGP 에 그 열쇠의 서 명 자들중의 하나를 완전히 신용한다 
는것을 알리여 그 열쇠의 합법칙성을 선언하여야 한다. 
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마지 막문제 : 앞에 서 다중사용자 ID 들이 공개열쇠 고리 중의 하나의 공개열쇠 와 관련될 
수 있다는것이 언급되였다. 이것은 어떤 사람이 이름을 변화시키거나 한 사람이 다른 전 
자우편주소들을 가리 키는 다중이름으로 서명을 하여 안내될수 있기때문이다.공개 열쇠를 
나무의 뿌리 로 생 각할수 있다. 공개열쇠 에 는 그와 관련한 여 러 개의 사용자 ID S 가 있는데 
매 사용자 ID 밑에 또 여러개의 서명들이 있다. 열쇠에 대한 개별적사용자 ID 의 속박은 그 
사용자 ID 와 열쇠와 관련한 서명에 의존한다. 

공개열쇠취소 

사용자는 자기의 현재공개열쇠를 취소할수 있다. 왜 냐하면 가로채기 가 걱정 되거 나 단 
순히 한 열쇠의 사용기간이 확장되는것을 피하려 할수 있기때문이다. 적이 암호화되지 
않은 비밀열쇠의 복사를 얻거 나 비밀열쇠고리로부터 비밀열쇠와 통과단계 ( passphrase ) 
를 다 얻을수 있는 경우를 가상한다. 

공개열쇠의 취소는 소유자가 자기 가 서명 한 열쇠 취소증명서를 발급하는것으로 규정 
된 다. 이 증명 서 는 일 반서 명 증명 서 와 갈은데 다른것 은 다만 증명 서 의 목적 이 이 공개열 
쇠의 리용을 폐지한다는 지적자를 포함한다는것이다.해당한 비밀열쇠를 사용하여 공개열 
쇠 를 취 소하는 증명 서 에 서 명 할수 있 다. 소유자는 공개 열쇠 고리 를 갱 신할수 있도록 가능 
한껏 빨리 그리고 널리 이 증명서를 류포시켜야 한다.소유자는 그때 지난 기간의 거래자 
들도 자기들의 공개열쇠고리들을 갱신할수 있도록 될수록 널리 그리고 빨리 이 증명서 
를 류포시키 려고 할것 이 다. 

어떤 소유자의 비밀열쇠를 절취한 적도 이러한 증명서를 발급할수 있다는데 주의한 
다. 그러나이것은 적이나 합법적소유자가 공개열쇠를 사용하는것을 부정하므로 도적질 
당한 비밀열쇠의 악의 있는 사용보다는 훨씬 덜 위협적일것이다. 


12.2 S/MIME 


S / MIME ( Secure/Multipurpose Internet Mail Extension ) 은 RSA 자료보안기 술에 
기초한 MIME 인터네트전자우편형식의 규격으로 보안을 강화한것 이다. PGP 와 S/MIME 가 
둘다 IETF 규격화되 여 있지만 S/MIME 는 상업 및 기관적 인 용도의 공업규격 으로서 등장 
하는 반면에 PGP 는 많은 사용자들에 대하여 개인전자우편보안수단으로만 유지될것이다. 

S/MIME 를 리해 하기 위하여 먼저 그것 이 기 초한 전자우편형 식 (즉 MIME ) 에 대 한 
일반적리해를 가지는것 이 필요하다. 그러 나 MIME 의 의미를 리해하자면 지금도 보통 쓰 
고 있는 전통적 인 전자우편형 식 규격 RFC 를 리해하는것 이 필요하다. 따라서 이 절 에서 
는 먼 저 이 두개 의 초기 규격 들에 대 한 소개 를 주고 S/MIME 에 대 하여 론의하기 로 한다. 

RFC 822 

RFC 822는 전자우편을 통해 보내오는 본문통보문의 형식을 정의한다. 그것은 인터 
네 트에 기 초한 본문우편통보문에 대 한 규격 이 며 현재 도 널 리 쓰이 고 있다. RFC 822에 
서는 통보문들을 봉투와 내용부들을 가지고 있는것으로 본다. 봉투에 전송과 배달을 실 
현하는데 필요한 어떤 정보가 들어 있다. 내용부는 수신측에 배달되여야 할 객체로 구성 
된다. RFC 822규격은 내용부에 한해서만 적용된다. 그러 나 내용규격에는 우편체계에 
의하여 봉투를 만드는데 리 용될수 있는 머 리 부마당들이 포함되 며 규격 화는 프로그람적 으 
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로 이러한 정보의 획득을 도모하는것을 목적으로 한다. 

RFC 822 에 따르는 통보문의 총적 구조는 매 우 간단하다. 통보문은 몇개의 머 리부행 
(머리부)과 그 다음의 제한 없는 본문(본체)으로 구성된다. 머리부는 빈 행으로 본체와 
분리된다. 다시말하여 통보문은 ASCII 본문이며 첫 빈 행우의 모든 행들은 우편체 계의 
사용자대 표부로 쓰이 는 머 리부행 들이라고 가정 된 다. 

머 리부행은 보통 예 약어다음에 두점，그 다음의 예 약어변수들로 작성된다. 그 형식 
은긴 행을 몇개의 행들로 가를수 있게 되여 있다. 제일 많이 리용하는 예약어들로는 
From, To, Subject 및 Data 이 다. 

여기에 실례통보문이 있다. 

Data ： Tue, 16 Jan 1998 10 ： 37 ： 17(EST) 

From ： “William Stallings” <ws@shore.net> 

Subject : The Syntax in RFC 822 

To ： Smith @Other-host.com 

Cc ： Jones @Yet-Another_Host.com 

Hello. This section begins the actual message body, which is delimited 

form the message heading by a blank line. 

RFC 822 머 리 부들에서 공통적 으로 흔히 볼수 있는 또다른 마당은 Message-ID 이 다. 
이 마당은 통보문과 관련한 유일한 식 별자를 포함한다. 

다목적 인 테비트우편확장 (Multipurpose Internet Mail Extensions) 

MIME 는 단순우편전송계 약 (Simple Mail Transter Protocol : SMTP) 또는 다른 우 
편전송규약 및 전자우편용의 RFC 822 리용의 제반 문제들과 제한성들을 취급하기 위한 
RFC 822 의 확장이 다. 

1. SMTP 는 실행형 파일들이나 다른 2 진객체 들을 전송할수 없다. 많은 방식들은 2 진 
파일들을 대중적 인 UNIXUU 부호화八 JU 복호방식을 비롯하여 SMTP 우편체계들이 
리용될수 있는 본문형 태 로 변환하는데 리용하고 있 다. 그러 나 이 것 들은 하나도 
규격화되여 있지 않다. 

2. SMTP 는 민족어문자들이 들어 있는 본문자료를 전송할수 없다. 왜냐하면 이것들 
은 십진 128 의 값을 8-bit 부호나 그이상의 부호로 표현하며 SMTP 는 7-bitASC II 
로 제한되기때문이 다. 

3. SMTP 봉사기들은 어떤 크기 이상의 우편통보문들은 거부한다. 

4. ASCII 와 문자부호 EBCDIC 사이를 번역하는 SMTP 관문들은 일관성 있는 온전한 
넘 기기들을 리용하지 않는것으로 해서 번역 에서 문제들을 발생한다. 

5. X. 400 전자우편망에 대한 SMTP 관문들은 X.400 통보문들에 포함되는 비본문화자 
료들을 조종할수 없다. 

6. 일 부 SMTP 실 현들에 서 는 RFC 821 에 서 정 의 되 는 SMTP 규격 들을 완전히 준수하 
지 않는다. 공통적인 문제들로는 다음의것들이 있다. 

• 삭제 , 부가 또는 행 바꾸기 와 행 간조절 의 재 배 렬 

• 76 문자이상의 행들을 자르거나 겹치기 

• 공백 (타브 및 공백 문자 ) 을 제 거 
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• 통보문의 행들을 갈은 길이로 메꾸기 

• 타브문자들을 여 러가지 공백문자들로 변환 

MIME 의 목적은 이 문제들을 현재의 RFC 822의 실현들과 호환하는 방법으로 해결 
하는것 이 다. 

그 명 세 서 가 RFC s 2045-2048 에 제 시 되 였 다. 


개요 


MIME 명세서에는 다음의 요소들이 포함된다. 

1. 다섯개의 새로운 통보문머리부마당들이 정의되는데 그것들은 RFC 822머리부에 
포함될수 있다. 이 마당들은 그 통보문의 본체에 대한 정보를 제공한다. 

2. 많은 내용부형식들이 정의되며 따라서 다매체전자우편을 지원하는 표현들이 규격 
화된다. 

3. 임 의의 내 용부형 식 을 그 우편체 계 에 의한 교체 로부터 보호되 는 형 식 으로 변환하 
는 전송부호화가 정의된다. 

이 소절에서는 다섯개의 통보문머리부마당들을 소개한다. 다음의 두 소절들에서는 
내 용부형 식 들과 전송부호화를 취 급한다. 

다섯개의 머리부마당들은 MIME 에서 다음과 같이 정의된다. 

• MIME 판본 ( MIME - Version ): 대 부분이 파라메터값 1.0 을 가진 다. 이 마당은 
그 통보문이 RFC s 2045-2046 에 적 합하다는것 을 가리킨다. 

• 내 용부형 식 ( Content - Type ) : 수신자가 적 당한 중개 자나 꾸밈 새 를 선택 하여 그 
사용자에게 자료를 제출하거 나 그렇지 않으면 적 당한 방법 으로 그 자료를 취급 
하는 통보문본체에 들어 있는 자료를 충분히 자세히 서술한다. 

• 내 용부전송부호화 ( Content - Transfer - Encoding ) : 우편전송에 적 당한 방법 으로 
통보문의 본체를 표현하는데 쓰이는 전송형태를 지적한다. 

• 내용부正) (Content ID ) :여러 정황들에서 MIME 실체들을 유일하게 확인하는데 쓰인다. 

• 내 용부서 술 ( Content - Description ) :본체 를 가지 는 객 체 의 본문서 술. 이 것 은 객 
체 가 읽을수 없을 때 (즉 음성 자료) 유용하다. 

이 마당들의 일부 또는 모두가 규격 화된 RFC 822머 리 부에 나타날수 있 다. 편리한 
실장이 되 자면 MIME - Version , Content-Type 및 Content - Transfer-Encoding 마당들 
을 지 원해 야 한다. 즉 Content-ID 와 Content-Description 마당들은 선택적이며 수신실 
현에 의해 무시될수 있다. 

MIME 내용부형 

대부분의 MIME 명세는 여 러 가지 형 태의 내 용부형태들에 대 한 정의와 관련된다. 여 
기 에 는 다매 체 환경 에 서 여 러 가지 정 보표현을 취 급하는 규격 화된 방법 들을 제 공할데 대 한 
요구가 반영되여 있다. 

표 12-3 에 RFC 2046에 명기된 내용부형들을 보여 주었다. 여기에 7개의 서로 다른 
기본형태의 내용부들과 모두 15개의 부분형태들이 있다. 일반적으로 내용부형은 일반형태 
의 자료를 선언하고 보조부분형 ( subtype ) 은 그 자료형태에 대한 특정의 형식을 명기한다. 
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본체의 본문형에 대한 지적된 문자모임의 지원을 제외하고는 본문의 내용을 충분히 
리해하는데 특별한 쏘프트웨어가 요구되지 않는다. 주보조부분형은 평문인데 그것은 단 
순히 ASCII 문자들의 렬 또는 ISO 8859문자들의 렬이 다. 보강된 부분형은 더 큰 형식화 
유연성을 준다. 

다중부분형 (Multipart type ) 은 본체 가 다중독립 인 부분들을 포함한다는것 을 나타낸 
다. Content - Type 머 리 부마당은 이 른바 경 계 파라메터 를 포함하는데 그것 은 본체 부분들 
사이의 경계를 정의한다. 매 경계들은 새로운 행으로 시작되며 두개의 련결부호와 그 다 
음의 경계값으로 구성된다. 마지막부분의 끝을 가리키는 마지막경계도 역시 두개의 련결 
부호《-》의 뒤붙이를 가진다. 매 개 부분에는 선택적 인 보통의 MUME 머 리부가 있을수 
있 다. 


간단한 본문으로 구성된 
실례가 있다 (RFC 2046). 

두개의 부분들을 포함하는 다중부분통보문에 대한 간단한 

표 12-3. 


MIME 내 용부형 

형 

부분형 

서술 

본문 

평문 
보강 

비형식화된 본문: ASCII 나 ISO 8859이다. 

더 큰 형식화유연성을 제공한다. 

다중부분 

혼합형 

병렬 

대안 

요약정보 

서로 다른 부분들은 독립 이나 함께 전송된다. 그것들은 우 
편통보문에 나타나기 위해 수신자에 게 제 출되 여 야 한다. 
부분들을 수신자에게 배 달하기 위한 순서 가 정 의되지 않는데 
서만 Mixed 와 다르다. 

서 로 다른 part 들은 같은 정 보에 대 한 대 안적 인 판본들이다. 
그것들은 원본에 대한 충실성이 증가하도록 배렬되며 수신측 
의 우편체계는《제 일 좋은》판본을 사용자에게 현시한다. 
Mixed 와 비숫하지만 매 부분의 기존형/부분형은 통보문 
/ rfc 822 이 다. 

통보문 

rfc 822 

partial 

외부-본체 

본체 그자체는 RFC 822에 적합한 교갑화된 통보문이 다. 

큰 우편항목들을 수신측에 투명하도록 토막화하는데 리용 
다른곳에 존재하는 대 상에 대 한 지시 기 를 포함한다. 

화상 

jpeg 

Gif 

이 화상은 JPEG 형 식 으로 JFIF 부호화된다. 

화상은 GIF 형식 이 다. 

비데 오 

mpeg 

MPEG 형 식 

음성 

Basic 

8 kHz 의 본보기 비률로 한 통로 8 -bit ISDN mu - law 부호화 

응용 

PostScript 

octet-stream 

Adobe PostScript 

8- bit 바이트들로 구성된 일반 2진자료 


Form ： Nathaniel Boreustein < nsb @ bellcore . com > 

To ： Ned Freed < ned @ innosoft . com > 

Subject : Sample message 
MIME - Version ： 1.0 

Content - type : multipart / mixed : boundary = “simple boundary ” 
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This is implicitly typed plain ASCII text. It does NOT end with a linebreak 
Composers to include an explanatory note to non-MIME conformant readers, 
—simple boundary 

This is the preamble. It is to be ignored, though it is a handy place for 
mail 

-- simple boundary 

Content-type ： text/plain ： charset=us~ascii 

This is explicitly typed plain ASCII text. It DOES end with a linebreak 
-- simple boundary 

This is the epilogue. It is also to be ignored 

다중부분형에 4 개의 보조부분형들이 있는데 그 모두는 총적으로 같은 문법을 가전다. 
Multipart/mixed subtype 는 특정의 규칙으로 묶을 필요가 있는 다중독립본체부분들이 
있을 때 리용된다. Multipart/parallel subtype 에서 부분들의 순서는 상관 없다. 수신 
체계 가 정 당하면 다중부분들을 병 렬로 표시할수 있다. 실례로 화상이 나 본문부분에는 화 
상이나 본문이 현시되는 동안 음성주석 이 동반될수 있다. 

multipart/alternative subtype 에서 여러 부분들은 같은 정보에 대한 서로 다른 표 
현들이다. 그에 대 한 다음과 같은 실례 가 있다. 

From: Nathaniel Borenstein <nsb@ bellcore.com 〉 

To ： Ned Freed <ned@innosoft. com 〉 

Subject ： Formatted text mail 
MIME-Version : 1.0 

Content - Type: multipart/alternative ； boundary=boundary 42 



Content-Type : text/plain ； charset=us-ascii 

... plain text version of message goes here... 

— boundary 42 
Content-T ype : text/ enriched 

...RFC 1896 text/enriched version of same message goes here... 

— boundary42 — 

이 보조부분형에서 본체부분들은 우선권순서로 배렬된다. 실례에서 만일 수신체계가 
text/enriched 형 식 으로 통보문을 현시할수 있으면 그렇 게 되 고 그렇 지 않으면 평 문형 식 
이 리용된다. 

다중부분/요약정보부분형은 매 본체부분들이 머 리부들을 가진 RFC 822 통보문이라 
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고 판별될 때 리용된다. 이 보조부분형을 리용하면 부분들이 개별적통보문들인 통보문의 
구조를 쉽게 구성할수 있다. 실례로 그룹의 중재자는 관계자들로부터 전자우편통보문들 
을 수집 하고 이 통보문들을 묶은 다음 그것들을 한개의 교갑화된 MIME 통보문으로 하여 
보낼수 있다. 

통보문형은 MIME 의 많은 중요 기능들을 제공한다. message / rfc 822 subtype 는 머 
리부와 본체를 포함하는 전체 통보문이 본체 라는것을 지적한다. 이 보조부분형의 이름과 
교갑화된 통보문은 단순한 RFC 822통보문만이 아니라 임의의 MIME 통보문일수도 있다. 

통보문/보조부분형을 쓰면 큰 통보문을 여러개의 부분들로 쉽게 구분할수 있는데 그 
것은 목적지에서 재결합되 여 야 한다. 이 부분형에 대 하여 세개의 파라메터들이 내용형 에 
렬거된다. 즉 통보문/부분마당，갈은 통보문의 모든 토막들에 대한 id 공유권，매 토막들 
에 유일한 렬번호 및 전체 토막수 

통보문/외부본체부분형은 이 통보문으로써 운반되는 실지자료가 본체 에 포함되지 않 
는다는것 을 가리킨다. 대 신 본체 에 는 그 자료에 접 근하는데 필 요한 정 보가 들어 있 다. 
다른 통보문형들과 마찬가지로 message / externaFbody 부분형은 바깥머 리 부와 그자체 
의 머 리부를 가지는 교갑화된 통보문을 가진다. 바깥머 리부에 필요한 마당은 바로 내 용 
부마당형마당인데 이것을 message / external - body 보조부분형 으로 정의 한다. 내부머 리 
부는 교갑화통보문에 대 한 통보문머 리 부이다. 외 부머 리 부의 Content - Type 마당에 는 접 
근형식파라메터가 포함되게 되는데 이것은 FTP (file transfer protocol ) 와 같은 접근방 
법 을 가리킨다. 

응용형은 다른 종류의 자료，대표적으로 해석되지 않은 2진자료나 우편응용프로그람 
에 의 해 처 리 되 는 정 보를 가리 킨다. 

MIME Transfer Encoding 

내용부형명세서외에 MIME 명세서의 다른 중요한 요소는 통보문본체들에 대한 전송 
부호화의 정의 이다. 목적은 최대한 넓은 범위의 환경들에서 믿음직한 배 달을 제공하는것 
이다. 

MIME 규격 은 자료를 부호화하는 두가지 방법 을 정 의한다.내 용부전송부호화마당은 
실지로 표 12-4 에서와 같이 6개의 값을 가질수 있다. 그러 나 이 값들중 세개 (7 bit , 8 bit 
및 2 bit ) 는 부호화가 진행 되 지 않았다는것 을 가리 키 며 본래자료에 대 한 일부 정 보를 제 
공한다. SMTP 전송에서 7- bit 형식을 리용하는것 이 간편하다. 8- bit 와 2_ bit 형 식들은 다 
른 우편전송과 관련하여 리용할수 있다. 다른 내용부전송부호화값은 x - 통표인데 이것은 

표 12-4. _ MIME Transfer Encodings _ 


7 bit 자료는 모두 ASCII 문자들의 짧은 행들에 의 해 표현된다. 

8 bit 행들은 짧지 만 비 ASC II 문자들이 있 을수 있 다. 

2진수 많은 비 ASCII 문자들이 존재할뿐아니라 행들이 SMTP 전송에 맞게 

짧지는 않다. 

Quoted - 부호화되는 자료가 대부분 ASCII 본문이면 자료의 부호화된 형식이 

printable 여전히 사람이 충분히 인식할수 있도록 자료를 부호화한다. 

입력의 6- bit 블로크들을 출력의 8- bit 블로크들에로 넘기기하여 자료 
Base 64 를 부호화하는데 그것 들은 인쇄 가능한 ASCII 문자들이다. 

x-token 명명된 비 규격 부호화 
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어 떤 다른 부호화방식 이 리 용된다는것 을 가리 키 며 이 름이 제 공된 다. 그것 이 vendor - 
specific 또는 application-specific 방식일수 있 다. 정의된 두 실지 부호화방식들은 
quoted-printable 과 base 64 이 다. 두개의 방식들은 본질적 으로 사람이 읽기 쉬운 전송기 
술과 타당하게 조밀화하여 자료의 모든 형들에 대하여 안전한 전송기술사이의 선택을 계 
공하기 위해 정의된다. 

quoted - printable 전송부호화는 그 자료가 인쇄가능한 ASCII 문자들에 부합되는 
옥레드들로 구성될 때 유용하다. 본질적으로 그것은 문자들의 부호의 16진표현으로 불 
안전문자들을 표시하며 76문자로 통보문행 들을 제 한하는 취 소가능 (연한) 행 구분들을 
도입 한다. 

Radix -64 부호화로 알려 진 base 64 전송부호화는 임의의 2진자료를 우편전송프로그람 
에 의한 처 리에 모순되지 않는 타당한 방법으로 부호화하는 일반방법이다. 그것은 PGP 
에서 리용되는데 부록 12-2 에 소개한다. 

다중부분실례 

FRC 1521에서의 그림 12-8 에서는 복합다중부분통보문에 대한 륜곽을 보여 주었다. 
통보문은 직 렬로 현시되는 다섯개 의 부분들 즉 2개 의 안내 평문부분들，매몰된 다중부분 
통보문，덧본문부분 및 비 ASCII 문자들로 결속되는 교갑화본문통보문으로 되 여 있다. 매 
몰된 다중부분통보문은 병렬로 현시되는 두개의 부분들 즉 화상과 음성조각을 가진다. 


규범 적 인 형 식 (Canonical Form ) 

MIME 와 S/MIME 에서 중요한 개념은 규범적형식이다. 규범적형식은 내용부형에 
적 합한 체계들사이 에서 리용하기 위하여 규격화된 형식 이 다. 이것은 본래형과 반대 인데 
특정의 체계에 고유한 형식이다. RFC 2049의 표 12-5 를 통해 이 문제를 명백히 할수 
있 다. 

S/MIME 기능 

일 반기 능적 으로 S/MIME 는 PGP 와 매 우 류사하다. 량자가 배 타적론리 합암호통보문 
들에 서 명하는 기 능을 제공한다. 이 소절에서는 S/MIME 기 능을 간단히 개괄한다. 그 다 
음 통보문형식들과 통보문준비를 통하여 이 기능을 더 자세 히 조사한다. 

기 능 

S/MIME 는 다음의 기능들을 제공한다. 

• 봉투화된 자료: 이것은 임의의 형의 암호화된 내용과 하나 또는 그이상의 수신 
측들에 대한 암호화된 암호열쇠들로 이루어 진다. 

• 서명된 자료: 수자서명은 서명되여야 할 내용부의 통보문요약정보를 취하고 그 
것을 서명자의 비밀열쇠로 암호화하여 얻어 진다. 서명은 내용부와 함께 
base 64 부호로 부호화된다. 서명된 자료통보문은 수신측만이 S/MIME 기능으로 
볼수 있다. 

• 열린 서 명자료: 서 명된 자료와 마찬가지 로 내 용의 수자서 명 이 형성 된다. 그러 
나 이 경우에 수자서명만이 base 64 로 부호화된다. 결과로서 수신측들은 
S/MIME 기능이 없이 그 서명을 검증할수 없다고 해도 통보문내용은 볼수 있다. 

• 서 명봉투화된 자료: 서 명 전용실체 와 암호전용실체 들은 서 로 포개 져 암호화된 
자료가 서명되거 나 서명된 자료 혹은 명백한 서명자료가 암호화될수 있다. 
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From: Nathaniel Borenstein <nsb@ bellcore.com 〉 

To: Ned Freed <ned@innosoft. icom> 

Subject: A multipart example 
Content-Type: multipart/mixed: 
boundary=unique-boundary-1 

이것은 다중부분통보문의 머리말부분이다. 다중부분형식을 알고 있는 우편열람자들은 이 머 
리 말을 무시 할수 있 다. 이 본문을 읽 으면서 독자들은 다중부분통보문들을 적 당히 현시 하는 방법 을 
리 해 하는 우편 열 람자로 되 는 과정 을 고찰하고 싶 을것 이 다. 


Unique-boundary- 1 
...Some text appears here... 

[Note that the preceding blank line means no header fields were given and this is text, with charset US 
ASCII. It could have been done with explicit typing as in the next part.] 

-unique-boundary-1 

Content-type: text/plain;charset=US-ASCII 


This could have been part of the previous part, but illustrates explicit versus implicit typing of body 
parts. 

—unique-boundary-2 
Content-T ype : audio/basic 
Content-Transfer-Encoding:base64 

...base64-encoded 8000Hz single-channel mu-law-format audio data goes here... 

—unique-boundary-2 

Content-Type:image/jpeg 

Content-Transfer-Encoding:base64 

...base64-encoded image data goes here... 

—unique-boundary2~ 

—unique-boundary-1 
Content-type: text/enriched 

This is<boldxitalic>richtext.</italic></bold><smaller>as defined in RFC 1896</smaller> 

Isn't it<biggerxbigger>cool?</biggerx/bigger> 

-unique-boundary-1 
Content-Type: message/rfc822 

Form:mailbox in US-ASCII) 

To: (address in US-ASCII) 

Subject:(subject in US - ASCII) 

Content-Type:Text/plain;charset=ISO-8859-l 

Content-Transfer-Encoding:Quoted-printable 

...Additional text in ISO-8859-1 goes here... 

-unique-boundary-1 ― 
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그림 12-8. MIME 통보문구조실례 



표 12-5. 


본래의 형식과 규범적형식 (Native and Canonical Form) 


문자의 형식 전송할 본체는 체계의 본래의 형식으로 창조된다. 본래의 문자모임이 

리용되 는데 적 당한 곳에 서 는 국부적행 마감규정 들도 리용핀 다. 본체 는 
UNIX - 방식 본문파일 이거 나 Sun raster 화상, UMS 첨수화된 파일 , 기 억 
기에만 기억된 체계의존형식의 음성자료 그밖에 정보의 어떤 형식의 포 
함에 대 한 국부모형일수 있 다. 기 본적 으로 자료는 매 체 형 에 의해 명 기 
된 형 에 일 치 하는《 본래 ( native ) 》형 식 으로 창조된 다. 

규범적형식 레부호길이와 같은《대역밖의》정보나 파일특성정보를 포함하는 전체 

본체는 보편적인 규범적형식으로 변환된다. 본체의 특수한 매체형이나 
그것의 관련된 속성들은 리용되는 규범적형식의 특성을 나타낸다. 

문자모임변환, 음성자료의 변환, 압축 또는 여러가지 매체형들에 대한 
여 러 가지 다른 특수한 조작들에 의해 적 합한 규범적형 래 로 변환된다. 
만일 문자모임변환이 포함되면 그 매체형 에 대 한 의미를 리해하는데 
주의해 야 하는데 그것은 임의의 문자모임변환에 대 한 강한 함축을 가 
_질수 있다._ 


암호알고리듬 

표 12-6 에 S / MIME 에 서 리용하는 암호알고리 듬들을 개 괄하였 다. S / MIME 는 RFC 
2199로부터 취한 다음의 용어들을 리용한다. 

• MUST : 명세서의 절대적요구로 정의된다. 실현은 이 특성이나 그 명세서와 일 
치 하는 기능을 포함해 야 한다. 

• SHOULD ： 특정한 환경 에 서 이 특성 이 나 기 능을 무시할수 있는 정 당한 리 유가 
있을수 있으나 실현에 특성이나 기능이 포함되는것이 좋다. 


표 12-6. _ S / MIME 에서 리용되는 암호화알고리듬 


기능 

요구조건 

수자서명을 구성하는데 리용되 
는 통보문요약정보를 창조한다. 

SHA -1 과 MD 5 를 지원해야 한다 ( MUST ). 

SHA -1 을 리용한다 ( SHOULD ). 

통보문요약정보를 암호화 하여 
수자서명을 구성한다. 

송신 및 수신중개자들은 DSS 를 지원하여야 한다 
( MUST ). 

송신중개 자는 RSA 암호화를 지 원 한다. 수신중개 자들 
은 열 쇠 크기 512- bit 〜 1024- bit 열 쇠 크기 를 가지 는 
RSA 서명의 검증을 지원한다 ( SHOULD ). 

통보문전송을 위한 대화열쇠를 
암호화한다. 

송신 및 수신중개 자들은 디피 -헬 만 ( Diffie - Hellman ) 
을 지원하여야 한다 ( must ). 

송신중개자는 열쇠크기가 512-1024 bit 인 KSA 암호화를 
지원 한다 ( SHOULD ). 

수신중개자는 RSA 복호를 지원한다 ( SHOULD ). 

전송을 위하여 통보문을 한번만 
쓰는 대화열쇠로 암호화한다. 

송신중개자들은 3중 DES 나 RC 2/40 로 암호화를 지원한 
다 ( SHOULD ). 

수신중개 자들은 3중 DES 를 리용하여 복호를 지 원 하여 
야 하며 RC 2/40 으로 복호를 지원한다 ( MUST ). 
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S / MIME 는 세개의 공개열쇠알고리 듬을 통합한다. 수자서 명규격 ( DSS ) 은 보다는 수 
자서 명 을 위하여 리용되 는 알고리 듬이 다. S / MIME 는 대 화열쇠 를 암호화하기 위하여 등 
용된 알고리듬으로서 디피-헬만 ( Diffie - Hellman ) 을 제공하는데 사실 ElGamal (문제 6- 
19를 볼것)은 알려 진 암호화/복호를 제공하는 디피-헬만 ( Diffie - Hellman ) 의 변종을 리 
용한다. 

대 안으로서 5장에서 서술된 RSA 는 서명과 대화열쇠암호화에 리용할수 있다. 이것 
들은 PGP 에서 리용되는 알고리듬과 갈은것들이며 높은 수준의 보안을 제공한다. 수자 
서명을 창조하는데 쓰이는 하쉬 함수에서 명세 로는 160- bitSHA - l 가 권고되 나 128- 
bitMD 5 에 대한 지원을 요구한다. 3장에서 본것처럼 MD 5 의 보안에 대한 정당한 관계가 
있으므로 명백히 SHA -1 은 대안식으로 된다.그러나 MD 5 가 광범히 실현되고 또 지원된다. 

통보문암호화에 대해 3중 DES 가 권고되지만 편리한 실장들은 40- bitRC 2 을 지원한다. 
후자는 약한 암호화알고리 듬이 지 만 미 국수출조종에는 부합된 다. 

S / MIME 명세서 에서 는 어 느 내 용부암호화알고리 듬을 리용하겠는가를 결정하는 수속 
에 대 하여 론의한다. 본질적 으로 송신중개 자는 두가지 의 결정 을 한다. 첫째 로，송신중개 
자는 수신중개자가 주어 진 암호알고리듬으로 복호할수 있는가를 결정해야 한다. 둘째로， 
만일 그 수신중개 자만이 약하게 암호화된 내용을 접수할수 있다면 송신중개 자는 약한 암 
호화로 보내는것이 접수가능한가를 결정하여야 한다. 이 결정과정을 지원하기 위해 송신 
중개자는 자기의 복호능력을 알릴수 있다. 수신중개자는 앞으로의 리용을 위해 그 정보 
를 보관할수 있다. 

다음의 규칙들은 송신자에 의해 차례로 집행된다. 

1. 만일 송신자가 의도된 수신으로부터 우선권복호능력들의 목록을 가지면 그 
SHOULD 는 그것 이 리 용할수 있는 목록상에 서 첫 번째 (최 우선권)능력 을 선택한다. 

2. 송신자가 의 도한 수신으로부터 이 런 기 능들의 목록을 받지 못했지만 수신자로부 
터 하나 또는 그 이상의 통보문을 받았으면 나가는 SHOULD 는 그 의도된 수신 
에 서 접 수된 최 종서 명 이 있 고 암호화된 통보문에 서 리용되 였 던것 과 같은 암호화 
알고리듬을 리용한다. 

3. 만일 송신자가 의도하는 수신자의 복호기능들에 대한 지식을 가지지 못하고 수신 
자가 그 통보문을 복호하지 못할것 갈으면 송신자 ( SHOULD ) 는 3중 DES 를 리용 
한다. 

4. 만일 송신자가 의도하는 수신자의 복호기능들에 대한 지식을 가지지 못하고 그 
통보문을 복호하지 못할것 갈으면 송신자는 KC 240을 리용한다. 

만일 어떤 통보문이 다중수신자들에게 보내지고 공통암호알고리듬이 그들에게 선 
택되지 않았다면 송신자는 두개의 통보문을 보낼 필요가 있다. 그러나 그 경우 보안 
이 부족한 복사물의 전송에 의하여 통보문의 보안이 약해 진다는데 주의하는것 이 중 
요하다. 

S/MIME 틍보문 

S / MIME 는 표 12-7 에서 보여 준 많은 새로운 MIME 내용부형들을 리 용한다. 새로운 
응용형들은 모두 PKCS 를 리용한다. 이것은 RSA 서 고들에 의해 발행된 공개열쇠암호명 
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세서들의 모임을 의미 한다. 

그 매 개를 S / MIME 통보문작성 을 위한 일반수속을 본 다음 차례 로 설명한다. 


표 12-7. _ S/MIME 내 용부형 


형 

부분형 

smime 파라메 터 

서술 

다중부분 

서명된 


두개 부분들로 된 clear-signed 통보문: 한쪽은 
통보문이 고 다른쪽은 서명 이다. 

응용 

pkcs 7 -mime 

서명된 자료 

서명된 S / MIME 실체 


pkcs 7 -mime 

봉투화된 자료 

암호화된 S / MIME 실체 


pkcs 7 -mime 

서명된 자료를 생 
성하지 않는다. 

공개열쇠증명서만을 포함하는 실체 


pkcs 7 -서 명 
pkcs 7 -mime 

- 

다중부분/서명된 통보문의 서명부분의 내용부형 
증명서등록요구통보문 


MIME 실체의 보호 

S / MIME 는 서명，암호, 또는 둘다를 가진 MIME 실체를 보장한다. MIME 실체로는 
전체 통보문 (RFC 822머 리부를 내놓고)이 될수 있거 나 만일 MIME 내 용부형 이 다중부분 
이면 MIME 실체는 통보문의 하나 또는 그이상의 부분들이 다. MIME 실체는 MIME 통보 
문작성 을 위한 일 반규칙 에 따라 준비 된 다. 다음 알고리 듬식 별 자나 증명 서 와 갈은 일부 
보안련관자료와 함께 MIME 실체 는 S / MIME 에 의하여 처 리 되 여 이 른바 PKCS 객 체 를 생 
성한다. PKCS 객 체 는 통보문내 용으로서 취 급되 며 MIME 로 포장된 다(적 당한 MIME 머 리 
부들을 제공한다). 이 과정은 특정한 객체들을 고찰하므로 명백해 야 하며 실례로 될수 
있 다. 

매 경우에 보내오는 통보문은 규범적형 태 로 변환된다. 특히 주어 진 형과 보조부분 
형 에 대 하여 적 당한 규범 적 형 식 이 통보문내 용부에 리 용된 다. 

다중부분통보문에 대하여 적당한 형태는 매 부분형에 대하여 리용된다. 

전송부호화를 리용하자면 특별 한 주의 를 돌려야 한다. 대 부분의 경 우 보안알고리 듬 
을 적 용한 결과는 부분적 으로나 전체적 으로 임의의 2진자료로 표현되는 객체를 생성한다. 
다음에 이것을 바깥 MIME 통보문으로 싸고 base 64 로 전송부호화를 진행한다. 

그러나 다중부분의 서명된 통보문인 경우 보조부분들중 하나에서 통보문내용은 보안 
과정에 변화되지 않는다. 그 내용부가 7 bit 가 아닌 한 서명된 내용부가 교체될 위험이 
없도록 base 64 나 quoted printable 로 전송부호화되여 야 한다. 

이제 매개 S / MIME 내용부형들을 보자. 

봉두화된 자료 

응용/ pkcs 7- mime 부분형은 S / MIME 처 리의 4개 부류들중의 하나에 리 용되는데 매개 
는 유일 한 smime - 형 파라메터 를 가진다. 매 경우에 객체 라고 하는 결과의 실체는 기초부 
호화규칙 (Basic Encoding Rules : BER ) 으로 알려 진 형 식 으로 표현되 는데 그것 은 ITU-T 
권고 X . 209에서 정의된다. BER 형식은 임의의 옥레드기호렬들로 구성되며 따라서 2진자 
료이다. 이러한 객체는 외부 MIME 통보문에서 base 64 로 전송부호화되여야 한다. 먼저 봉 
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투화된 자료를 보자. 

봉투화된 자료 MIME 실 체 를 준비하는 단계 들은 다음과 갈다. 

1. 개 개의 대 칭 암호알고리 듬 (RC 2140이 나 3중 DES ) 에 대 하여 준우연대화열쇠를 생 
성 한다. 

2. 매 수신에 대하여 그 수신자의 공개 RSA 열쇠로 대화열쇠를 암호화한다. 

3. 매 수신자에 대 하여 송신자의 공개열쇠 증명 서，대 화열쇠 를 암호화하는데 사용되 
는 알고리듬의 식별자 및 암호화된 대화열쇠를 포함하는 수신자정보로 알려 진 
블로크를 준비한다. 

4. 통보문내용을 대화열쇠 로 암호화한다. 

암호화된 내용부앞의 수신자정보 (Recipient Info ) 블로크들은 봉투화된 자료 
(enveloped Data ) 를 구성 한다. 다음 이 정 보는 base 64 로 부호화된 다. 본보기 통보문 
(RFC 822머 리부들을 제외)은 다음과 같다. 

Content - Type : application / pkcs 7- mime : smime - type = enveloped _ data : 
Name = smime . p 7 m 

Content - Transfer - Encoding : base 64 
Content - Disposition : attachment : filename = smime . p 7 m 


rfvbnj 756 tbBhyHhHUujhJhjH 77 n 8 HHGT 9 HG 4 VQPfyF 467 GIGfHfYT 6 

7 n 8 HHGghyHhHUujhJh 4 VqpfyF 467 GhIGfHfYGTrfvbnjT 6 jH 7756 tbB 9 H 

f 8 HHGTrfvhJhjH 776 tbB 9 HG 4 VQbnj 7567 GhIGfHfYT 6 ghyHhHUujpfyF 4 

OghIGfHfQbnj 756 YT 64 V 


암호화된 통보문을 회 복하기 위 해 수신자는 먼저 base 64 부호화를 해제해 야 한다. 
다음 자기의 비밀열쇠를 써서 대화열쇠를 회복한다. 마지막으로 통보문내용을 그 대화열 
쇠로 복호한다. 


서 명 자료 (Signed Data ) 

Signed Data smime - type 는 하나 또는 그이상의 서명 자들이 리용할수 있다. 명 확 
히 하기 위해 설명을 단일수자서명의 경우에 국한시켜 보자. EnvelopedData MIME 실 
체를 준비 하는 단계들은 다음과 갈다. 

1. 통보문요약(요약정보)알고리듬 (SHA 또는 MD 5) 을 선택한다. 

2. 서명되는 내용부의 통보문요약정보나 하쉬함수를 계산한다. 

3. 통보문요약정보를 서명자의 비밀열쇠로 암호화한다. 

4. 서 명 자의 공개열 쇠 증명 서，통보문요약알고리 듬의 식 별 자，통보문요약정 보를 암호 
화하는데 리용되는 알고리듬의 식별자 및 암호화된 통보문의 요약을 포함하는 서 
명 자정 보로 알려 진 블로크를 준비한다. 
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하는 블로크들의 렬들로 구성된다. 서명자료실체는 인정된 뿌리 또는 정점준위의 증명국 
으로부터 서 명 자에 이 르기 까지 의 련쇄 를 구성 하는데 충분한 공개 열 쇠 증명 서 들의 모임 을 
포함한다. 이 정 보는 다음 base 64 로 부호화된다. 본보기통보문 (RFC 822머 리부를 제 외 
하고)은 다음과 갈다. 

Content - Type : application / pkcs 7- mime : smime - type = signed _ data : 
name = smime . p 7 m 

Content - Transfer - Encoding : base 64 
Content - Disposition : attachment : filename = smime . p 7 m 

567 GHIGfHfYT 6 ghyHhHUujpfyF 4 f 8 HHGTrfvhJhjH 776 tbB 9 HG 4 VQbnj 7 

77 n 8 HHGT 9 HG 4 VqpfyF 467 GhIGfHfYT 6 rfvbnj 756 tbBghyHhHUujhJhjH 

HuujhJh 4 VqpfyF 467 GhIGfHfYGTrfvbnjT 6 jH 7756 tbB 9 H 7 n 8 HHGghyHh 

6 YT 64 VOGhIGfHfQbnj 75 

서명된 통보문을 회 복하고 서명 을 검증하기 위하여 수신측은 먼저 base 64 부호화를 
해제한다. 다음 서명자의 공개열쇠로 요약통보문을 복호한다. 수신자는 요약통보문을 따 
로 처리하고 그것을 복호된 요약통보문과 비교하여 서명을 검증한다. 

명백한 서명작성 

명백한 서명 작성 은 서명된 보조부분형을 가지는 다중부분내용부형을 리용하여 달성 
된다. 언급한바와 같이 이 서명과정은 통보문이 “in the clear ” 로 보내지도록 서명되 
는 통보문을 변환하지 않는다. 이리하여 MIME 능력은 있으나 S / MIME 능력이 없는 수신 
자들이 받은 통보문을 읽을수 있다. 

다중부분/서명통보문은 부분으로 되 여 있다. 첫 부분은 임의의 MIME 행일수 있는데 
원천지로부터 목적지까지 전송될 때 교체되지 않도륵 준비되여야 한다. 이것은 첫 부분 
이 7 bit 가 아니면 base 64 나 quoted - printable 로 부호화되 여 야 한다는것을 의미 한다. 또 
한 이 부분은 서명자료와 갈은 방법 으로 처 리되는데 이 경우에 서명자료형식 을 가진 객 
체가 창조된다. 그것은 빈 통보문내용부마당을 가진다. 이 객체는 독립서명이다. 다음 
다중부분/서명통보문의 두번째 부분은 base 64 을 리용하여 부호화되는것 이 다. 이 두번째 
부분은 응용의 MIME 내용부형과 pkcs 7 서명의 부분형을 가진다. 아래 에 본보기통보문을 
소개 하였다. 

Content - Type ： multipart / signed : 

Protocol ^ l< application / pkcs 7- signature ; 

Micalg = shal ; boundary = boundary 42 

— boundary 42 
content - Type : text/plain 

This is a clear — signed message . 
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content - Type : application / pkcs 7- signature : name = smime , p 7 s 
content - Transfer - Encoding : base 64 
content - Disposition : attachment t filename = smime . p 7 s 


ghyHhHUujhJhjH 77 n 8 HHGTrfvbnj 756 tbB 9 HG 4 VqpfyF 467 GhIGfHfYT 6 
4 VqpfyF 467 GhIGfHfYT 6 jH 77 n 8 HHGghyHhHUujhJh 756 tbB 9 HGTrfvbnj 
n 8 HHGTrfvhJhjH 776 tbB 9 HG 4 VQbnj 7567 GhIGfHfYT 6 ghyHhHUujpfyF 4 
7 GHIGfHfYT 64 VQbnj 756 
— boundary 42— 


규약파라메 터 는 이 것 이 두 부분의 명 백 한 서 명 실체 라는것 을 가리 킨다. Micalg 파 
라메터 는 리 용된 요약통보문의 형 을 지 적한다. 수신자는 첫 부분의 요약통보문을 취 하 
고 이것을 두번째 부분의 서명에서 재현한 요약통보문과 비교하는 방법으로 서명을 검 
증한다. 

등록요구 

일 반적 으로 응용프로그람이 나 사용자는 공개 열쇠 증명 서 용의 증명 국을 적 용할수 있 다. 
Application / pkcslOs/MIME 실체는 증명요구를 전송하는데 리용된 다. 

증명 요구는 증명요구정보블로크다음에 공개열쇠암호화알고리 듬의 식 별자 그 다음의 
수신자비밀열쇠로 작성된 증명요구정 보블로크서 명으로 구성된다. 증명 요구정 보 (Request 
Info ) 블로크는 증명서주제 (공개열쇠가 확인되는 실체)의 이름과 사용자의 공개열쇠의 비 
트렬표현을 포함한다. 

중명서전용통보문 

증명 서 또는 증명 서취 소목록 ( CRL ) 만을 포함하는 통보문은 등록요구에 응하여 보내 
질수 있 다. 통보문은 smime 형 퇴화 파라 메 터를 가진 application / pkcs 7 -mime 
type/subtype 이다. 그 단계는 통보문내용이 없고 서명자정보마당이 빈다는것을 내놓고 
는 서명자료통보문의 창조과정과 같다. 

S/MIME 증명서처리 

S/MIME 는 X . 509(11 장을 볼것 )의 판본 3과 일 치하는 공개열 쇠 증명 서 들을 리 용한다. 

S/MIME 가 리용하는 열쇠관리방식은 엄격한 X . 509증명계층구조와 신용 PGP 의 Web 
사이 의 혼합이다. PGP 모형 과 마찬가지 로 S/MIME 관리 자들과 사용자 혹은 그 개 개 들은 
매 의 뢰 자들을 신용되 는 열쇠 들의 목록과 증명 서 취 소목록으로 구성하여 야 한다. 즉 책 임 
은 들어 온 서명들을 검증하고 내보낼 통보문들을 암호화하는데 필요한 증명서들을 유지 
하는데 국한된다. 다른 한편 증명서 들은 증명 국에 의해 서 명된다. 


사용자대행체의 역할 (User Agent Role ) 

S/MIME 사용자는 다음의 조작을 실 현 하기 위한 몇 가지 열 쇠 관리 기 능들을 가전 다. 
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• 열쇠생성 : 일정한 행 정사업 을 보는 사용자(실례 로 LAN 관리 와 관련한것 )는 디 



피 -헬만 ( Diffie - Hellman ) 과 DSS 열 쇠 쌍들 그리 고 RSA 열 쇠 쌍들을 생 성할수 ' 
다. 매 열쇠쌍은 비결정식우연입력으로부터 생성되여야 하며 안전하게 보호」 
여 야 한다. 사용자대 행체 는 길 이 768〜 1024- bitRSA 열쇠쌍들을 생성해 야 하 i 
512 bit 보다 작은 길 이는 생성하지 말아야 한다. 

등록:사용자의 공개열쇠는 X . 509공개열쇠증명서 를 받기 위해 증명국에 보관: 
여 야 한다. 

증명서보관과 검색: 사용자는 증명서들의 국부목록에 대한 접근을 요구하며 - 
어 온 서명들을 검증하고 내보낼 통보문들을 암호화한다. 이러한 목록은 많- 
사용자들의 이 름으로 사용자나 일부 제 한된 행정 실체 에 의해 유지될수 있다. 


Verisign Certificates 

증명국 ( CA ) 봉사들을 제공하는 몇개의 회사들이 있다. 실례로 Nortel 은 ◦쇼를 계획 
1■였 고 기 관내 에 서 S / MIME 지 원을 제 공할수 있다. Verisign , GTE 및 U . S.Postal 
ervice 를 비 롯하여 수많은 인 터네 트 CA 들 이 있다. 이 것 들중에 서 대 부분이 
논 risignCA 봉사인데 그에 대해 간단히 설명하면 다음과 같다. 


표 12-8. _ Verisign 공개 열쇠 증명서 급분류 



신원확인의 개요 

IA 비밀열쇠 보호 

증명서신청 자 및 
예약자의 비밀열쇠 
보호 

사용자들에 의해 실 장 
되거나 예상되는 응용 

1 급 

명확한 이름과 
전자우편주소의 
자동 탐색 

PCA : 신용되는 장치 
CA ： 신용되는 프로 
그람 또는 장치 

요구되지 않지만 권 
고되는 암호프로그 
람 (PIN 보호) 

Web 열 탐과 전 자우 
편리 용 

2 급 

1급과 갈은데 
자동명부정보검 
사와 자동주소검 
사가 더 있다. 

PCA 와 CA ： 

믿을수 있는 장치 

암호프로그람 (PIN 
보호)의 요구 

개인 및 인트라네트와 
회사들사이의 전자우 
편, 직결가입, 통과어 교 
체 및 프로그람유효성 
검증 

3 급 

1급과 갈은데 개 
인대면과 ID 문서 
들 그리 고 2급의 
개 인들에 대 한 
즉 기관들의 업 
무기록 ( 혹은 서 
류)들에 대한 자 
동 ID 검사가 더 
있 다. 

PCA 와 CA ： 

믿을수 있는 장치 

암호프로그람 (PIN 
보호)요구 : 장치교 
환권이 권고되지만 
요구되지 않는다. 

전자은행，회사자료기 
지접근, 개인은행，종 
업원기초의 직결봉사, 
내용완정성검사，전자 
상업봉사기，프로그람 
유효성검 증, LRAAs 
의 인증; 어떤 봉사기 
들에 대하여 강한 암 
호화 




Verisign 은 S/MIME 나 다른 여 러 응용프로그람들에 량립될수 있도록 CA 봉사를 제 
공한다. Verisign 은 제 품명 이 Verisign Digital ID 인 X . 509증명 서 들을 발행한다. 1998 
년초에 35000개 이상의 상업 Web 싸이트들이 Verisign server Digital ID 들을 리 용하였으 
며 100만개 이 상의 고객 수자식식 별자 ( DID ) 들이 Netscape 나 Microsoft 열람기들의 사용자 
들에게 발행되였다. 

• 소유자의 공개열쇠 

• 소유자의 이름이 나 가명 

• Digital ID 의 완료날자 

• Digital ID 의 계렬번호 

• Digital ID 를 발행 한 증명 국의 이 름 

• Digital ID 를 발행 한 증명 국의 수자서 명 

수자식 ID 들에는 또한 다른 사용자제공정보도 포함될수 있다.실례로 

• 주소 

• 전자우편주소 

• 기본등록정보(나라， zip 부호，나이，성) 

Verisign 은 공개열쇠증명서보안의 세개의 준위 또는 급부류들을 제공한다. 사용자 
는 Verisign 의 Web 싸이트나 다른 web 싸이트들에서 증명서를 직렬로 요구한다. 1부류 
와 2부류요구들을 직결로 처리되며 대부분의 경우 증명하는데 몇초 걸린다. 간단히 다음 
의 절차들이 리용된다. 

수자식 ID 에 포함된 정보는 수자식 ID 와 그 사용의 형태에 의존한다. 최소한 매개 수 
자식 ID 는 다음의것을 포함한다. 

• 1급수자식 ID 에서 Verisign 은 PIN 과 수자식 ID 발취정보를 응용에서 제공된 전자 
우편주소에 보내여 사용자의 전자우편주소를 확인한다. 

• 2급수자식 ID 에 서 Verisign 은 1급의 수자식 ID 와 관련 한 모든 검 사를 수행 하는 
것외에 고객자료기지와의 자동비교를 통하여 접수된 정보를 검증한다. 마지막 
으로 수자식 ID 가 그의 이름으로 발행된 사용자를 바꾼 특정의 우편주소로 확인 
이 보내진다. 

• 3급수자식 ID 에서 Verisign 은 더 높은 준위의 신원증명을 요구한다. 개별적사람 
들은 자기의 신원을 신임장을 제공하거나 본인이 직접 신청하여 증명해야 한다. 


개선된 보안봉사 (Enhanced Security Services) 

현재 까지 3가지 개 선된 보안봉사들이 인 터네 트초안으로 제 기 되 였 다. 그 구체 적내 
용은 달라 질수도 있고 부가적 인 봉사들이 더 있을수도 있 다. 그러한 봉사들은 다음과 
갈다. 
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• 서명된 수신: 서명된 수신 혹은 서명된 자료객체로부터 요구될수 있다. 서명된 
수신자에 로의 회 답은 통보문의 작성 자에 로의 배 달에 대 한 증명 을 제공하고 그 




작성 자로 하여 금 수신자가 그 통보문을 받았다는것 을 계 3자가 증명할수 있게 
한다. 본질적으로 수신자는 서명자의 서명이 있는 원래의 통보문에 서명하고 
새 로운 S/MIME 통보문을 구성하는 새 서명 을 덧단다. 

• 보안표식: 보안표식은 서명된 자료객체의 인증된 특성에 포함될수 있다. 보안 
표시 는 S/MIME 교갑화에 의해 보호되 는 내 용의 민감성 에 관한 보안정 보들의 
모임이다. 그 표시들은 어떤 사용자가 객체에 대해 접근허가를 받는가를 지적 
하는 접근조종에 리용할수 있다. 다른 사용들에는 어떤 사람들이 그 정보를 볼 
수 있는가를 서술하는 우선권이 포함된다. 

• 안전우편목록: 사용자가 다중수신자들에 게 통보문을 보낼 때 매 수신당 일정한 
처 리 량이 요구된다. 사용자는 S/MIME 우편목록대 행 체 ( MLA ) 의 봉사를 고용하 
여 이 작업에서 면제될수 있다. MLA 는 받은 개개의 통보문을 취하고 매개 수 
신에 대하여 수신자전용암호화를 진행하고 그 통보문을 전송할수 있다. 그 통 
보문의 작성 자는 MLA 의 공개열쇠 로 암호화를 진행하여 MLA 에 그 통보문을 
보내는것만 요구한다. 


참고문헌 


참고할 Web 싸이트들 


• PGP Home Page ： PGP Web site by Network Associates , the leading 
PGP commercial vendor 

• MIT Distribution Site for PGP : Leading distributer of free ware PGP 
contains FAQ . Other information and links to other PGPsites 

• S/MIME Charter ： Latest RFCs and internet drafts for S/MIME 

• S/MIME Central : RSAInc.’s Web site for S/MIME . Includes FAQ and 
other useful information 


문 제 

1. 대부분의 전통암호들에서 암호블로크련쇄 (CB 必방식을 리 용하지만 PGP 는 
CAST -128 의 암호반결합 ( CBC ) 방식을 리용한다. 

CBC : C r E k [ C w ®P t \ \ P ' 熟니 © D k [Cf] 

CFB : C ,• =P 포 ®E k [C M ]; P ,_ = C M 田 E k [ Q_j ] 

이 두개 는 동등한 보안을 제 공하는것 으로 되 고 있 다. PGP 가 CFB 방식 을 리용하 
는 리 유를 설명하시오. 

2. PGP 방식에서 이전에 창조된 대화열쇠가 만들어 지기전에 생성될수 있는 대화열 
쇠들의 수는 얼마인가? 

3. PGP 에 서 자개 의 공개열 쇠 들을 가진 사용자가 최 소 한개 의 중복된 열 쇠 ID 를 가 
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질 확률은 얼마인가? 

4. PGP 서명에서 128 -bit 통보문의 요약정보의 첫 16 bit 들이 명백히 분석된다. 

'' ① 이것은 어느 정도까지 하쉬알고리듬의 보안을 낮추는가? 

③ 그것은 의도된 기능 즉 정확한 RSA 열쇠가 리용되여 요약정보가 복호되였는 
가를 결정하려 는 기 능을 어 느 정 도까지 수행 하는가? 

5. 그림 12-4 에서 공개열쇠고리의 매 개 입 력은 이 공개열쇠소유자와 관련된 신용의 
정 도를 가리키 는 소유자신용마당을 포함한다. 그것 은 왜 충분하지 않은가? 즉 
소유자가 신용되 고 그것 이 소유자의 공개열 쇠 라고 가정해 도 왜 PGP 가 이 공개 
열쇠을 리용하는것을 허락하는데 충분한 신용으로 되지 못하는가? 

6. 암호의 형태로서 radix -64 변환을 고찰하자. 이 경우 열쇠는 없다. 그러나 적이 
어떤 형 태의 치환알고리 듬이 영 어본문을 암호화하는데 리용되 였다는것만을 알았 
다고 가정 하자. 이 알고리 듬은 암호분석 을 막는데서 얼마나 효과적이 겠는가? 

7. 힐 짐 머 맨 (Phil Zimmermann ) 은 IDEA , 3중 DES 및 CAST -128 을 PGP 를 위한 
규격암호알고리듬으로 선택 하였다. 이 책 에서 서술된 다른 매개 전통암호알고리 
듬들 즉 DES , 두개 열 쇠 3중 DES , Blowfish , RC 2 과 RC 5 가 PGP 에 적 당하거 나 
그렇지 못한 리유를 밝히시오. 


부록 12-1: ZIP 를 리용한 자료압축 


PGP 는 진 루프 가일 리 ( Jean-lup Gailly ), 마크 애 들러 (Mark Adler ) 및 리 차드 웨 
일스 (Richard wales ) 가 쓴 이 른바 ZIP 라는 압축묶음을 리 용한다. ZIP 는 UNIX 와 일부 
다른 체 계 들에서 실행 되 는 C 언어 로 작성된 자유품(打 eeware ) 묶음이다. ZIP 는 기 능적 으 
로 PKWARE 회사에 의해 개 발된 Windows 체계들에 유용한 공유품 ( shareware ) 묶음인 
PKZIP 와 같다. Zip 알고리듬은 가동환경들에 관계없이 가장 일반적으로 쓰이는 압축기 
술 이 며 freeware 와 shareware 판본 들 은 Windows 나 UNIX 체 계 들 과 마 찬 가지 로 
Macintosh 와 다른 체계들에서 응용된다. 

ZIP 와 류사한 알고 리 듬들 이 야꼬브지 브 ( JacobZiv ) 와 아브라 함 렘 펠 (Abraham 
Lempel ) 에 의하여 개 발되 였다. 1977년에 벌써 그들은 최 근에 야 처 리된 본문 [ ZIV 7 기 이 
있는 미끄럼 창문완충기 에 기 초한 기 술을 서 술하였 다. 

이 알고리듬을 일반적 으로 LZ 77 이 라고 부르는데 그 판본은 dp 압축방식 에 리용된다 
( PKZIP , gzip , zipit 등). 

LZ 77 과 그의 변종들은 본문흐름 (GIF 의 경우 화상패턴들)에서 단어들과 구들이 반 
복될수 있 다는 사실 을 리 용하였 다. 반복부들이 발생할 때 반복되 는 렬 은 짧은 부호로 교 
체될수 있다. 압축프로그람은 이러한 반복을 조사하고 반복되는 계렬을 교체하기 위하여 
실 행중에 부호들을 개 발한다. 후에 부호들이 새 로운 계 렬 들을 포착하는데 재 리용된 다. 
이 알고리 듬은 압축풀기프로그람이 부호들과 원천자료계 렬들사이의 현행의 넘기기를 추 
론할수 있도록 정의되여야 한다. 

LZ 77 를 구체적 으로 보기전에 간단한 실례를 보자. 무의미한 구 

the brown fox jumped over the brawn foxy jumping frog 
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를 고찰하자. 이것은 53옥레드 즉 424 -bit 길이이다. 알고리듬은 이 본문을 왼쪽에서 오 
른쪽으로 처리해 간다. 처음 매 문자는 2진 1과 그 다음 그 문자의 8 -bitASCII 표현으로 
이루어 지는 9 -bit 의 패턴으로 넘기기된다. 처리가 진행될 때 알고리듬은 반복되는 계렬 
들을 찾는다. 반복부들과 만나게 되면 알고리듬은 그 반복이 끝날 때까지 계속 조사한다. 
다시말하여 반복이 발생할 때마다 알고리듬은 될수록 많은 문자들을 포함한다. 이러한 
첫 렬은 the brown fox 이다. 

이 렬은 선행계렬에 대한 지적자나 그 렬의 길이로 교체된다. 이 경우에 the 
brown fox 의 앞렬은 26개 문자위 치들이 앞에 발생 하며 그 렬의 길 이는 13문자들이 다. 
이 실례에서 부호화하는데 두가지 선택 즉 8 -bit 지시기와 4 -bit 길이 또는 12 -bit 지시기와 
6 -bit 길 이 를 가정 한다. 2 bit 의 머 리부는 어 떤 선택 이 되 는가를 가리킨다. 00는 첫 선택 
을 가리 키 고 01은 두번째 선택 을 가리킨다. 따라서 the brown fox 의 두번째 발생 은 
<00 b ><26 d ><13 d > 또는 00 00011 010 11이로 부호화된다. 

압축된 통보문의 나머지부분은 문자 Y , 공백문자와 그 다음의 jump 로 이루어 지는 
렬에 교체 되 는 렬 <00 b > <26 d > <5 d >, 문자렬 ing frog 이 다. 

그림 12-9 에 압축넘기기를 보여 주었다. 압축된 통보문은 35개의 9- bit 문자들과 두 
개의 부호들을 포함하여 총 35接1斗- 2 xl 4=343 bit 들로 이루어 진다. 이것은 압축하지 않 
은 통보문의 424 bit 에 비해 1.24 배 의 압축률을 가진다. 


the brwn fox jumped over the brown foxy jumping frog 

u^;_ 卜 13 — 1 r 」 

L 27 - 」 

the brwn fox jumped over 0 b 26 d 13 d _y 0 b 27 d 5 d ing frog 


그림 12-9. LZ 77 방식의 실례 


압축알고리듬 

LZ 77 과 그 변종들에 대 한 압축알고리 듬은 두개 의 완충기 들을 리 용한다. 미 끄럼리 력 
완충기 (Siding history bu 打 er ) 는 처 리된 원천의 마지막 N 개 문자들을 포함하고 전망 
완충기 ( look-ahead buffer ) 는 처 리 되 여 야 할 다음 L 개 문자들을 포함한다(그림 12-10 
의 1). 

알고리듬은 look-ahead buff 라의 시작으로부터 sliding history buffer 에 있는 기 
호렬까지 대조하려고 한다. 만일 일치되는것이 없으면 look-ahead buffers ] 첫 문자는 
9 -bit 문자로서의 출구이고 sliding window 에로 밀기화되면서 그안에서 제 일 낡은 문자 
는 밀기화된다. 

만일 일치되는것이 발견되면 알고리듬은 제일 긴 일치가 나올 때까지 계속 조사한다. 
그러면 일치된 기호렬은 세 조(지적자，지시기，길이)토서 출력된다. 

K - 문자렬에 대하여 sliding window 의 及:개의 제일 오랜 문자들은 밀기되고 부호화 
된 기호렬의 K 개의 문자들은 window 에로 밀기된다. 

그림 12-10 의 l 에는 우의 실례렬에서 이 방식의 동작을 보여 주었다. 그림에서 39- 
문자 미끄럼 창문과 13-문자 미 리 보기 완충기를 가정한다. 이 실례 의 웃부분에서 첫 40개 
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문자들이 처리되고 이 문자들중의 가장 최근의 39개의 압축되지 않는 판본이 sliding 
window 에 있다. 나머지원천은 look-ahead window 에 있다. 압축알고리듬은 다음일 
치 를 결정 하고 look-ahead buffer 로부터 5개 의 문자들을 sliding window 에 로 밀기 하 
고 이 기 호렬 에 대 한 부호를 출력한다. 이 런 조작들후 완충기 의 상태 는 아래 의 그림 과 
같다. 




j 그 ! 


1) 일반구조 


|he brown fox jumped over the brown foxy] [ jumping frog] 


lown fox jumped over the brown foxy jumpl ling frog 


그림 12-10. LZ77 도식 


LZ 77 이 효과적 이 고 현재입 력의 특성 에 부합되지만 일부 부족점 들이 있 다. 이 알고 
리 듬은 앞의 본문에서 일치되는것 들을 찾는데 유한창문을 리용한다. 창문의 크기 에 비해 
매우 긴 블로크의 본문에서는 가능한 많은 일치들이 제거될수 있다. 창문크기를 증가시 
킬수 있는데 이때 두개의 벌칙들이 부가된다. 즉 (1) sliding window 의 모든 위치에 
대 하여 look-ahead buffer 의 렬비 교를 해 야 하므로 알고리 듬의 처 리시간이 증가한다. 
(2) < pointer > 마당은 큰 비 약에 대 해서는 지적 자마당이 커 야 한다. 

압축풀기알고리듬 

LZ 77 -압축된 본문의 풀기 는 간단하다. 압축풀기알고리 듬은 풀기 된 출력 의 마지 막 
N 개 의 문자들을 보존하여 야 한다. 부호화된 기 호렬 에 부닥칠 때 압축풀기알고리 듬은 
< 1 ) 011 나 61 :>와 < leng 仕 i > 마당들을 리용하여 그 부호를 실지 본문기 호렬로 교체 한다. 


부록 12-2： 64-진수변환 


PGP 와 S / MIME 는 둘다 radix -64 변환이 라고 부르는 부호화기술을 리 용한다. 이 기 
술은 임의의 2진자료를 인쇄가능한 문자출력으로 넘긴다. 부호화형식의 특성들은 다음과 
갈다. 
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1 . 함수의 범위는 모든 싸이트들에서 보편적으로 표현할수 있는 문자들의 모임이며 
그 문자모임은 특정한 2진부호화는 아니 다. 따라서 문자들자체는 특정한 체계 에 
필요한 어떤 형식 으로 부호화된다. 실례 로 문자 “ E ” 는 ASCII 체 계 에서 16진45 
로 표시 되 며 EBCDIC 체 계 에 서 는 16진 C 5 로 표시 된다. 

2. 문자모임은 65개의 인쇄가능한 문자들로 이루어 지는데 그중 하나는 삽입 에 쓰인 
다. 2 6 =64개의 유용한 문자중에서 매개 문자들은 6 bit 의 입력을 표현하는데 리 
용된 다. 

3. 조종문자들은 그 모임에 속하지 않는다. 따라서 radix -64 로 부호화된 통보문은 
조종문자들의 자료흐름을 조사하는 우편조종체 계 들을 관통할수 있다. 

4. 이음표 《-》는 러용되지 않는다. 이 문자는 RFC 822형식에서 의미를 가지며 
따라서 표 12-9 는 6- bit 입력값들의 문자들에로의 넘기기를 보여 준다. 문자모임 
은 문자, 수자들과《 +》및 《/》로 이루어 진다. 《 =》문자는 삽입문자로 리 
용한다. 

그림 12-11 에 간단한 넘기기방식을 보여 주었다. 2진입 력은 3개의 8 bit 들의 블로크 
들로 처리된다. 24- bit 블로크에서 매 6 bit 들의 모임은 한개 문자로 넘기기된다. 그림에 
서 문자들은 8- bit 량들로 부호화된것으로 볼수 있다. 이 일반경우에 매 24- bit 입 력은 
32- bit 출력으로 확장된다. 


-24 bits- 



그림 12-11. 2진자료의 Radix -64 형식으로서 인쇄가능한 부호화 


실례 로 16진으로 235 C 91 로 표시할수 있는 24 bit 미 가공본문렬 00100011 01011100 
100100 ()1 을 고찰하자. 그 입력을 6- bit 블로크들로 배렬한다. 


001000 110101 110010 010001 
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발취된 6- bitlO 진값들은 8,53,50,17이 다. 이것들을 표 12-9 에서 찾아 보면 다음의 
문자들 즉 IlyR 로서 radix -64 부호화를 준다. 만일 기우성 비트를 0으로 설정 하고 이 문 
자들을 8- bitASClI 형식으로 보관하면 01001001 00110001 01111001 01010010을 얻는다. 
16진수로 이것은 49317952이다. 개괄하면 


입 력 자료 

2진표현 

00100011 01011100 10010001 

16진표현 

235 C 91 

입력자료의 Radix -64 부호화 

문자표현 

IlyR 

ASCII 부호 (8 bit ， 령， 

기우성) 01001001 00110001 01111001 01010010 

16진표현 

49317952 


표 12-9. Radix -64 부호화 


6 -bit 값 문자부호화 

6 -bit 값 

문자부호화 

6 - bit 값 

문자부호화 

6 -bit 값 

문자부호화 

0 

A 

16 

Q 

32 

g 

48 

w 

1 

B 

17 

R 

33 

h 

49 

X 

2 

C 

18 

S 

34 

i 

50 

y 

3 

D 

19 

T 

35 

j 

51 

z 

4 

E 

20 

U 

36 

k 

52 

0 

5 

F 

21 

V 

37 

1 

53 

1 

6 

G 

22 

W 

38 

m 

54 

2 

7 

H 

23 

X 

39 

n 

55 

3 

8 

I 

24 

Y 

40 

o 

56 

4 

9 

J 

25 

Z 

41 

P 

57 

5 

10 

K 

26 

a 

42 

Q 

58 

6 

11 

L 

27 

b 

43 

r 

59 

7 

12 

M 

28 

c 

44 

s 

60 

8 

13 

N 

29 

d 

45 

t 

61 

9 

14 

O 

30 

e 

46 

u 

62 

+ 

15 

P 

31 

f 

47 

V 

63 

/ 







(pad) 

= 
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부록 12-3: PGP 우연수생성 

PGP 는 여 러 목적 으로 우연수들과 모조란수들을 생 성하는데 복잡하고 유력한 방식 
을 리용한다. PGP 는 우연수들을 내용부와 사용자건눌림의 시간결정으로 생성하고 모조 
란수들도 ANSI X 12.17 의 하나에 기 초한 알고리 듬을 리 용하여 생 성한다. PGP 는 다음의 
목적 들을 위하여 이 수들을 생 성한다. 

• 진짜수 

RSA 열쇠 쌍들을 생 성하는데 쓰인 다. 

□ 모조란수생성의 초기씨를 제공 

□ 모조란수생 성 기 간 첨 부입 력 을 제 공 

• 모조란수 

□ 대 화열 쇠 들을 생 성하는데 리 용된 다. 

ᄆ CFB 방식 의 암호에 서 대 화열 쇠 를 리 용하기 위한 초기 화벡 토르( IV )들을 생 
성하는데 쓰인다. 

진짜우연수 

PGP 는 256 -byte 완충기의 우연비트들을 유지한다. PGP 가 건눌림을 제외할 때마다 
그 시간을 대기를 시작한 32 -bit 형식으로 기록한다. PGP 가 건눌림을 받을 때 건이 눌린 
시간과 그 건눌림의 8 -bit 값을 기록한다. 그 시간과 건눌림정보는 열쇠를 생성하는데 리 
용되며 열쇠는 또 우연-비트완충기의 현재값을 암호화하는데 리용된다. 

모조란수 

모조란수발생은 24 -octet 씨를 리 용하여 16 -octet 대화열쇠 , 8 -octet 초기화벡토르 그리 
고 모조란수발생에 리용될 새로운 씨를 만든다. 알고리듬도 5장에서 서술한 X 12.17 알고 
리 듬에 기 초하는데 (그림 5-14 를 볼것 ) 암호화에 는 3중 DES 대 신 CAST -128 을 리 용한다. 

1. 입력 

□ randseed . bin (24 악레드 ): 이 파일이 비면 24개의 진짜 우연악레드들로 채 
워 진다. 

□ 통보문: 대화열쇠와 통보문을 암호화하는데 리용될 초기화벡토르들은 그 통 
보문의 함수이다. 이것長 또한 열쇠와 초기화벡토르의 우연성에 보다 기여되 
며 적이 통보문의 평문내용부를 이미 알고 있을 때 1회용대화열쇠를 획득할 
필요가 분명 치 않게 한다. 

2. 출력 

a K (24 개 악테드): 첫 16개 악레드 K [0, ...15] 은 대화열쇠를 포함하며 마지 
막 8개 악레드 k [16, ...23] 은 초기화벡토르를 포함한다. 

1 randseed . bin (24 개 악베드):이 파일에는 새로운 씨값이 놓인다. 
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3. 내부자료구조 

« dtbnf (8 개 옥데 드): 첫 4개의 옥데 드 dtbnf [0,... 3] 은 현재 날자/시 간값으로 
초기화된다. 이 완충기는 X 12. 17알고리듬의 DT 변수와 같다. 

□ rkey (16 개 옥테 드): 알고리 듬의 모든 단계 들에 서 리 용되 는 CAST -128 암호열 쇠 

□ rseed (8 개 옥테드) : X 12.17 의 V ,■변수와 같다. 

m rbuf (8 개 옥테드):알고리듬에 의해 생성된 모조란수. 이 완충기는 X 12.17 의 
R , •변수와 같다. 

a K ’ (24 개 옥테 드): randseed . bin 의 새 로운 값을 위 한 림 시 완충기 

알고리듬은 이부터 G 9 까지의 9개 단계들로 이루어 진다. 처음과 마지막단계들은 
적 에 도청 당한 randseed . bin 파일의 값을 줄이 기 위 한 장애 단계 들이 다. 나머 지 단계 들은 
X 12.17 알고리듬의 세개의 반복들과 본질적으로 같은데 그림 12-12 에 보여 주었다(그림 
5-14 와 비교하시오). 



알고리 듬의 다음과 같은 단계 마다의 서 술은 Stephan Nenhaus [ NEUH 93] 에 기 초 
한다. 

G1. [초보적 으로 이 전의 씨 를 처 러한다. ] 

1 ) randseed . bin 을 k [0.. 23] 까지 복사하시 오. 

L ) 그 통보문의 하쉬를 취한다(이것은 통보문이 서명되면 미리 생성되고 그렇 
지 않으면 통보문의 첫 4 K 옥레드들이 리용된다). 그 결과를 열쇠로 리용하 
며 빈 초기화벡토르를 리용하여 K 를 CFB 방식으로 암호화하고 그 결과를 
K 에 다시 보관한다. 

G2. [초기 씨 를 설 정한다] 

ᄀ) dtbuf [0..3] 을 32 -bit 국부시간으로 설정한다. dtbnf [4.,7] 을 모두 령으로 
설정 한다. rkey — k [0..15] 를 복사한다. rseed — K [16. .23] 를 복사한다. 


376 

















니 64 -bit 의 dtbuf 를 128 -bit 의 rkey 를 리용하여 FCB 방식으로 암호화하고 
그 결과를 d 1 ;buf 에 다시 보관한다. 

G 3. [우연옥레 드들을 생성 하기 위 한 준비] rcount — 0 k — 23을 설정 한다. 단계 G 4 - 
G 7 의 순환은 24번 ( k =23..0) 실행되며 매번 한개의 옥테드가 생성되여 K 에 보 
관된다. 변수 rcount 는 rbuf 에서 리용되지 않는 우연옥레 드들의 수이 다. 8부터 
0까지 3번 내리계수하여 24개의 옥레드들을 생성한다. 

G 4. [바이트들이 유용한가?] rcount =0 이면 G 5 로 가고 아니면 G 7 로 간다. G 5 나 
G 6 은 X 12.17 알고리 듬의 한개 단계 를 수행하여 8개 의 우연옥레 드들의 새 로운 
묶음을 생 성한다. 

G 5. [새로운 우연옥레드들을 생성한다] 

ᄀ) rseed—rseed 任) dtbuf 
니 rbnf ^ Erkdy [ rseed ] (ECB 방식으로) 

G 6. [다음씨 를 생 성한다. ] 

ᄀ) rseed — rbnf ® dtbuf 
니 rseed — Erkey © [ rseed ] (ECB 방식으로) 
c ) rcount 는 8 

G 7. [rbuf 로부터 K 에로 한번에 한개 바이트를 전송한다.] 

ᄀ ) rcount -^ rcount -1 

니 진짜우연바이 트 b 를 생 성 하고 k [ k ] 속 rbuf [ rcount ] 任) b 를 설 정 한다. 

G 8. [다 되였는가?] K =0 이면 G 9 로 가고 아니면 k — k -1 및 G 4 로 간다. 

G 9. [씨를 Postwash 하고 그 결과를 돌려 준다] 

1) G 7 에서 우연바이트로 XOR 하지 않는것을 내놓고 G 4- G 7 의 방법으로 24개 
이 상의 바이 트들을 생 성한다. 그 결과를 완충기 K ’ 에 보관한다. 

니 K ’ 를 열쇠 k 的.. 15] 와 초기화벡토르 K [16..23] 4 리용하여 CFB 방식으로 
암호화하고 그 결과를 randseed.bin 에 보관한다. 
n ) K 를 돌려 준다. 

G 12 .a 에서 생성된 24개의 새 옥레 드들로부터 대 화열쇠를 결정할수는 없다. 그러 나 
기억한 randseed.bin 파일이 최근의 대화열쇠들에 대한 어떠한 정보도 제공하지 않도록 
하기 위 하여 24개의 새 로운 옥레 드들을 암호화하고 그 결과를 새 로운 씨 로 보관한다. 

이 정교한 알고리듬은 암호학적으로 강한 모조란수들을 제공하게 된다. 

알고리 듬의 예 비적분석 에 의해 단일대 화열쇠의 비트들사이 에는 내적련관이 없으며 
다음의 대화열쇠들도 독립이라는것을 알수 있다 [NEUH 93], 
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제 13 장. IP 보안 


인 터네트통신은 전 자우편 ( S / MIME , PGP ) ，의 뢰기 /봉사기 ( Kerberos ) ， Web 호출 
(Secure Sockets Layer ) 등을 비 롯하여 많은 응용령 역 들에서 응용프로그람고유의 보안 
수단들을 개 발하였 다. 그러 나 사용자들에 게 는 규약층들을 위 반하는 일부 보안상우려 들이 
있다. 실례로 어떤 회사는 안전한 전용 TCP / IP 망을 의심되는 싸이트들에 련결하지 않고 
구내 에서 나가는 파케트들을 암호화하며 구내 에 들어 오는 파케트들을 인증하는 방식으 
로 운영할수 있 다. IP 수준에 서 보안을 완성하여 기 관은 보안대 책 을 취 한 응용뿐아니 라 
보안을 무시한 많은 응용들에 대 하여 서 도 담보할수 있 다. 

IP 수준의 보안은 세개의 기능적 령역들인 인증，기밀성 및 열쇠 관리를 포함한다. 인 
증기구는 수신된 파케트가 파케트머리부에서 발송지로 지적된 대방에 의해 전송되였다는 
것을 확인한다. 또한 이 기구는 그 파케트가 전송중에 변경되지 않았다는것을 담보한다. 
기밀성은 제3자에 의한 도청을 막는다. 열쇠관리는 안전한 열쇠의 교환과 관련된다. 


13.1 IP 보안에 대한 개팔 


1994 년 에 인 터 네 트 구 성 방 식 위 원 회 (Internet Architecture Board ： IAB ) 는 
“Security in the Internet Architecture ” 라는 제목의 보고를 발표하였다 (RFC 1636). 
그 보고는 인테네트가 더 많은 그리고 더 훌륭한 보안을 요구한다는 일반여론을 지적하 
고 보안기구들에 대하여 기 본령 역들을 확인하였다. 그중에서 허가 받지 못한 감시나 망 
전송의 조종으로부터 망의 하부구조를，인증과 암호기구들로는 말단 대 말단사용자전송 
을 보호할 필요가 있다. 

이 우려 들에 는 충분한 근거 들이 있 다. 를퓨터 긴급대 책 림 (Computer Emergency 
Response Team : CERT ) 의 1997 년도 보고에서는 거의 150,000개의 싸이트들에 영향을 
주는 2500개 이상의 보안련관사건들을 지적하였다 . 대부분 엄중한 형 태의 공격들은 IP 기 
만의 형태를 띠는데 여기서 침입자들은 거짓 IP 주소를 가진 파케트들을 창조하고 IP 에 
기초한 인증을 리용하는 응용들 즉 여러 형태의 도청과 파케트탐지로 가입정보와 자료기 
지내용들을 비롯한 정보를 알아 낸다. 

이에 대응하여 IAB 는 다음세대 IP 에서 필요한 보안대책으로서 인증과 암호화를 포 
함하는 IPv 6 을 발행하였다. 이것은 판매 업 자들이 이 특성들을 제공할수 있다는것을 의 
미하며 현재 많冬 판매 업자들이 자기들의 상품에 IPSec 능력을 갖추고 있다. 

IPSec 의 응용 

IPSec 는 LAN , 전용 및 광지역 망 ( WAN ) 들 그리 고 인터네 트를 통한 통신을 보호하 
는 능력을 제공한다. 그 리용실례는 다음과 같다. 

• 인터 네 트를 통한 지점 에 로의 통신을 보호한다: 회 사는 인터네 트 또는 WAN 에 
서 안전한 가상전용망을 구축할수 있다. 이 것은 업무가 인터네 트에 의존함으로 
써 전용망들에 대 한 요구를 줄이고 비 용과 망관리간접 비 를 절 약할수 있게 한다. 
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• 인테네트에서 안전한 원격접근: 체계가 IP 보안규약들로 장비된 말단사용자는 
인 테 네 트봉사제 공자 (Internet Service Provider ： ISP ) 에 국부접 근하여 회 사망 
에 안전하게 접근할수 있다.이것은 려행중에 있는 직원들의 원격작업의 비용을 
줄인다. 

• 엑스트라네트와 인트라네트에 대방들을 접속시킨다: IPSec 는 인증과 기밀성,열 
쇠교환수단들을 제공하며 다른 기관들과의 안전한 통신에 리용할수 있다. 

• 전자상거 래의 보안강화: 일부 Web 와 전자상거 래 응용프로그람들이 보안수단들을 
가지고 있다고 해도 IPSec 를 리용하면 그 보안이 강화된다. 

IPSec 가 이러한 용응들을 지원할수 있게 하는 기본특성은 그것이 IP 준위에서 모든 
거래를 암호화하거나 인증할수 있다는것이다. 따라서 원격등록가입，의뢰기/봉사기，전 
자우편, 파일전송, 접근을 비롯한 모든 분산응용들이 담보된다. 

그림 13-1 에 IPSec 사용법에 대한 전형적씨나리오를 보여 주었다. 기관들은 분산된 
지 역 들에 서 LAN 들을 관리한다. 불안전한 IP 통신이 매 개 LAN 에 서 진행 된다. 
Trafficoff 싸이트에 대하여 어떤 전용 또는 공공 WAN 을 통하여 IPSec 규약들이 러용된 
다. 이 규약들을 경로조종기나 방화벽과 같은 망장치들에 적용한다. 

IPSec 망장치는 WAN 에로 가는 모든 전송들을 일반적으로 암호화하고 압축하며 
WAN 으로부터 오는 전송을 복호하고 압축을 푼다. 즉 이 조작들은 워크스테이션이나 
봉사기들에 대하여 투명하다. 또한 안전한 전송이 WAN 에 직접 접근하는 개별적사용자 
들에게도 가능하다. 이러한 사용자워크스테이션들은 IPSec 규약들을 실행하여 보안을 보 
장한다. 



그림 13-1. IP 보안의 씨나리오 
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IPSec 의 우점 

IPSec 의 우점들은 다음과 같다 ([ MARK 97]). 

• IPSec 가 방화벽이나 경로조종기에 실장되면 그것은 경계를 지나는 모든 전송들 
에 적용할수 있는 강한 보안을 제공한다. 회사나 연구그룹내에서의 전송은 보 
안련 관처 리 의 간접 비 를 초래하지 않는다. 

• 외부로부터 의 모든 전송이 IP 를 리용하고 방화벽 이 인터네 트에서 그 기 관으로 
들어 오는 유일한 수단이면 방화벽에서 IPSec 는 우회를 막게 된다. 

• IPSec 는 전송층 ( TCP , UDP ) 밑에서 실현되고 따라서 응용프로그람들에 투명하 
다. IPSec 가 방화벽이나 경로조종기에서 실현될 때 사용자나 봉사기체계에 生 
프트웨어 를 갈아 태 울 필요는 없다. IPSec 가 비 록 말단체 계 들에서 수행될지라 
도 응용프로그람들을 비롯하여 웃층의 쏘프트웨 어들에 영향을 주지 않는다. 

• IPSec 는 말단사용자들에 대 하여 투명하다. 사용자들이 보안기 구들에 숙련할 필 
요가 없다. 

• IPSec 는 필요하다면 개별적사용자들에게 보안을 제공할수 있다. 이것은 원격지 
( off - site ) 의 작업 자들과 기관내 에 안전한 가상부분망을 설정 하는데 유용하다. 

경로선택응용 

말단사용자들을 지 원하고 구내 체 계 들과 망들을 보호하는것 외 에 IPSec 는 호상련결망 
에 서 요구되 는 경 로선택방식 에 서 사활적 인 역 할을 논다. 문헌 [ HUIT 98] 에 IPSec 의 리 
용에 대한 다음의 실례들이 소개되였다. 

• 경 로조종기통지 (새 로운 경 로기는 자기의 존재를 통지 한다.)는 공인된 경 로조종 
기에서 진행한다. 

• 이웃한 통지 (경 로조종기는 다른 경 로선택령 역의 경로조종기와의 이웃한 관계를 
창설하거 나 유지 하려고 한다.)는 공인된 경로조종기로부터 한다. 

• 재방향통보문은 초기파케트가 보내온 경로조종기로부터 만든다. 

• 경로선택변경은 꾸며 낼수 없다. 

이러한 보안대책이 없으면 적은 통신을 와해시키거나 일부 전송의 방향을 바끌수 있 
다. OSPF 와 같은 경로조종규약들은 IPSec 에 의해 정의된 경로조종기들사이의 보안련관 
상에서 실행된다. 


13.2 IP 보안구성방식 

IPSec 명세서 ( specification ) 는 보다 복잡해 졌 다. 전반적 방식 에 대 한 표상을 가지 기 
위해 IPSec 를 정 의하는 문서 들을 보는것 으로부터 시 작한다. 다음 IPsec 와 봉사기 들을 
론의하고 보안련관 (security association ) 의 개념을 소개한다. 

IPSec 문서 

1995년 8월 에 IETF 는 인터네 트수준에 서 보안을 정 의하는 다섯 개 의 보안에 관련하여 
제 안된 표준들을 발행하였 다. 
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• RFC 1825： 보안방식에 대한 륜곽 

• RFC 1826： IP 에 대한 파케트인증확장의 서술 

• RFC 1828： 명확한 인증방식 

• RFC 1827： IP 에 대한 파케트암호화확장의 서술 

• RFC 1829： 명확한 암호방식 

이 특성들에 대 한 지 원은 IPv 6 에서는 의무적이며 IPv 4 에서는 자유이 다. 두 경우 
다 보안기능들은 기 본 IP 머 리 부에 련이은 확장머 리부들로서 실현된다. 인증을 위한 확장 
머 리부를 인증머 리 부라고 한다. 또한 암호화에 대 한 확장머 리부는 교갑화보안통신부하 
(Encapsulating Security Payload ： ESP ) 머 려부라고 한다. 

이 첫 문서 들로부터 IETF 에 의 해 설립된 IP 보안규약연구그롭 (IP Security 
Protocol Working Group ) 에서 많은 연구사업들이 진행되고 있다. 문서들은 그림 13-2 
에서 서술된것처럼 7개의 부류들로 분할된다. 

• 방식 : 일반개념틀, 보안조건들 정의들 및 IPSec 기술을 정의하는 방식들을 포함 
한다. 

• 교갑화보안통신부하 ( ESP ): 파케트암호화를 위한 ESP 의 리용과 관련한 파케트 
형식과 일반결과들, 선택적기능인 인증을 포함한다. 



그림 13-2. IPSec 문서개괄 
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• 인중머리부 ( AH ): 파케트인증을 위한 AH 의 리용과 관련한 파케트형식과 일반 
결과들을 포함한다. 

• 암호알고리 듬: 어 떤 암호알고리 듬들이 ESP 를 위해 리용되 는가를 서 술하는 문 
서들의 모임 

• 인중알고리듬: 어떤 인증알고리듬들이 AH 와 ESP 의 인증선택에 리용되는가를 
서술하는 문서들의 모임 

• 열쇠관리 : 열쇠관리수단들을 서술하는 문서들 

• 해석령 역 ( DOI ): 다른 문서 들이 서 로 관계를 가지 는데 필요되 는 값들을 포함한 
다. 이 것들은 열쇠의 수명 과 같은 조작파라메터들과 마찬가지 로 공인된 암호 
및 인증알고리듬들에 대한 식별자들을 포함한다. 

IPSec 봉사 

IPSec 는 체계 가 요구하는 보안규약들을 선정 하고 그 봉사들을 위해 리용할 알고리 
듬들을 결정 하며 요청 받은 봉사를 제공하는데 요구되는 모든 암호열쇠들을 준비 할수 있 
게 하여 IP 층에서 보안봉사들을 제공한다. 보안을 제공하는데 두개의 규약이 리용된다. 
규약의 머리부에 의해 지정되는 인증규약인 AH 와 그 규약에 대한 파케트의 형식에 의 
해 지정되는 암호화/인증규약인 ESP 가 있다. 

봉사들은 다음과 갈다. 

• 접근조종 

• 비 접 속완정 성의 보증 

• 자료출처의 인증 

• 재연된 파케트들(부분렬완정성의 형식)의 거부 

• 기밀성(암호화 ) 

• 제한된 전송흐름기밀성 

표 13-1 에 어 떤 봉사가 AH 와 ESP 규약에 의해 제 공되 는가를 보여 주었 다. ESP 에 
대하여 두가지 경우가 있다. 즉 인증선택을 가지는것과 가지지 않는것이 있다. AH 와 
ESP 는 둘 다 암호열쇠배포와 이 보안규약들에 관계되는 전송흐름의 관리에 기초한 접근 
조종을 위한 운반수단들이 다. 

표 13-1. _ IPSec 봉사_ 


ESP (암호만) ESP (인중과 암호화) 


접근조종 

/ 

/ 

/ 

비 접 속완정 성 

/ 


/ 

자료출처의 인증 

/ 


/ 

재연된 파케트들의 거부 

/ 

/ 

/ 

기밀성 


/ 

/ 

제한된 전송흐름의 
기밀성 


/ 

/ 
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보안련관 (Security Associations) 

IP 에 대하여 인증과 기밀성 구조에서의 중요한 개념이 보안련관 (Security Ass 
ociation : SA ) 이 다. 관련 ( association ) 은 그 우에서 진행 되 는 전송에 보안봉사를 제 공 
하는 송신자와 수신자사이의 한방향관계 이 다. 쌍방향의 안전한 교환에서 동등한 관계를 
요구하면 두개 의 보안련관들이 요구된 다. 보안봉사들이 AH 또는 ESP 의 리용을 위해 
SA 에 제공되는데 둘다에 대하여서는 아니다. 

SA(Security association ) 는 다음의 세 파라메 터들에 의 해 유일하게 정의된다. 

• 보안파라메 터 목록 (Security Parameter Index : SPI ) : 이 SA 에 할당된 비 트렬 
이며 국부적의미만을 가진다. SPI 는 AH 와 ESP 머 리부들에 옮겨 져 수신체계 
가 수신되는 파케트를 처 리 할 SA 를 선택할수 있게 한다. 

• I P 목적지주소 ( IP Destination Address ) : 현재의 unicast 주소들만이 허 
락된다. 이것은 SA 의 목적지 끝점의 주소인데 마지막사용자체계이거나 방화벽 
또는 경 로조종기와 같은 망체 계일수 있다. 

• 보안규약식별자 (Security Protocol Identifier ): 이것은 관련이 AH 보안련관인 
가 또는 ESP 보안련관인가를 가리킨다. 

따라서 임의의 IP 파케트에서 SA 는 IPv 4 또는 IPv 6 머리부에서 목적지주소와 닫긴 
확장머리부 ( AH 나 ESP ) 의 SPI 에 의해 유일하게 식별된다. 

SA 파라메 터 

매 개의 IPSec 실현에는 매 SA 와 관련한 파라메터들을 정의하는 보안련관자료기지 
( Security Association Database ) 가 있 다. SA 는 일 반적 으로 다음의 파라메 터 들로 
정의된다. 

• 렬번호계수기 (Sequence Number Counter ) : 3절에서 서술되는 AH 나 ESP 
머 리 부들에 있는 Sequence 마당을 생 성하는데 쓰이 는 32 -bit 값(모든 실현에서 
요구된다). 

• 계수기넘침 (Counter Overfolw ) : 렬번호계수기의 자리넘침이 일어 났을 때 
이 SA 로 파케트들의 이후의 전송을 정지시키겠는가 정지시키지 않겠는가를 가 
리키는 기발 (모든 실현들에서 요구된다). 

• 반재 연 ( Anti - Replay ) : 3절에서 서술되는데 들어 오는 AH 나 ESP 파케트가 재 
연인가 아닌가를 결정하는데 쓰인다 (모든 실현들에 요구된다). 

• AH 정보 (AH Information ): 인증알고리듬，열쇠，열쇠의 수명， AH 를 리 용 
하는것과 관련되는 파라메터 들 (AH 실현에 만 요구된다). 

• ESP 정보 (ESP Information ): 암호화 및 인증알고리듬，열쇠초기값들，열쇠의 
수명 및 ESP 를 리 용하는데 관련되 는 파라메터 들 (ESP 실현에 요구된다) . 

• 현재 보안련관의 수명 (Lifetime of this Security Association ) : 한 SA 가 새 로 
운 SA (및 새로운 SPI ) 로 교체되거나 끝 마치게 되는 시간구간 또는 바이트계 
수와 이 동작들중 어 느것 이 일 어 날것 이라는 지 적 (모든 실현들에 요구된다) . 

• IPSec 규약방식 (IPSec Protocol Mode ) : 런넬，전송 또는 월드카드(모든 실현 
들에서 요구된다). 이 방식들은 이 절의 뒤에서 론의한다. 

• 경로 MTU ： 임의의 관측된 경로최대전송단위 (조각화를 하지 않고 전송할수 있 
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는 파케트의 최대크기) 및 경과시간을 나타내는 변수들(모든 실현들에서 요구 
된 다). 

열쇠 를 배 포하는데 쓰이는 열쇠 관리 기 구는 보안파라메 터 목록의 방법 으로만 인증과 
비밀성꾸밈새들에 결합된다. 따라서 인증과 비밀성은 어떤 특정한 열쇠관리꾸밈새와 독 
립으로 기입된다. 

SA 선택 기 

IPSec 는 사용자들에게 IPSec 봉사들을 IP 전송에 적용시키는 방법으로 상당한 유연성 
을 제공한다. SA 들은 여 러 가지 방법 으로 결합되 여 소망하는 사용자구성을 만들수 있다. 
또한 IPSec 는 IPSec 보호가 제공되 는 전송과 IPSec 를 우회 할수 있는 전송을 어 렵지 않게 
판별한다. 전자의 경우에 IP 전송은 특정의 SA 들에 관련된다. 

IP 전송이 특정의 SA 들(또는 IPSec 를 우회 하는것 이 허 락되는 전송의 경우에는 SA 가 
없 다) 에 관계 되 는 방 법 은 명 목상의 보 안 확 인 절 차 자 료 기 지 (Security Policy Data 
base : SPD ) 이다. 그것의 가장 간단한 형태로서 SPD 는 기입들을 포함하는데 그 매개는 
IP 전송과 부분설정을 정의하며 그 전송을 위한 SA 를 지적한다. 더 복잡한 환경들에서는 
잠재적으로 단일 SA 에 관련하거 나 단일 SPD 기 입과 관련되는 다중 SA 들과 관련한 다중기 
입들이 있을수 있다. 독자들은 충분한 리해를 위하여 IPSec 관련문서들을 참고할수 있다. 

매 SPD 기 입 은 IP 와 선택기 라고 부르는 층의 규약마당의 값들의 모임 에 의해 정 의 
된다. 사실 이 선택기들은 나가는 전송을 특정의 SA 에 로 넘 기기 위하여 그것을 려과 
하는데 리 용된다. 외부에 로의 처 리는 매 개 IP 파케트에 대 하여 다음의 일반적차례 로 진 
행 한다. 

1. SPD 에 대 하여 파케 트의 적 당한 마당들의 값을 비 교하여 일 치하는 SPD 기 입 을 찾 
는데 그것 은 령 또는 그이 상의 SA 들을 지 적한다. 

2. 이 파케 트와 그와 관련된 SPI 에 대 한것 이 있으면 SA 를 결정한다. 

3. 요구된 IPSec 처리를 한다(즉 AH 나 ESP 처리). 

다음의 선택 기 들은 SPD 기 입 을 결정한다. 

• 목적지 IP 주소 (Destination ID): 이것은 단일 IP 주소，하나하나 렬거한 주소들 
의 목록이나 범위 또는 주소일수 있다. 마지막 두가지는 갈은 SA 를 공유한 한 
개이상의 목적지체계를 지원하는데 요구된다(실례로 방화벽뒤에). 

• 원천지 IP 주소 (Source ID )： 이것은 단일 IP 주소，하나하나 렬거된 주소목록이 
나 범위 또는 월드카드(마스크)주소일수 있다. 마지막 두가지는 갈은 SA 를 공 
유하는 하나이상의 원천국체계를 지원하는데 요구된다. 

• 사용자식별자 (UserlD): 조작체계로부터의 사용자의 식별자. 이것은 IP 나 웃층 
의 머리부들의 마당은 아니지만 만일 IPSec 가 사용자와 같은 조작체계에서 실 
행되면 리용가능하다. 

• 자료감도준위 (Data Sensitivity Level) : 정 보의 흐름보안을 제 공하는 체 계 들에 

서 리용된다. 

• IPSec 규약 (AH 나 ESP 또는 AH/ESP) : 만일 존재 하면 이 것은 IPv 4 규약이 나 
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IPv 6 의 Next Header 마당으로부터 엄어 진다. 

• 전송층규약 (Transport Layer Protocol) : IPv 4 규약이 나 IPv 6 Next Header 
마당으로부터 얻어 진다. 이것은 개별적규약번호，규약번호들의 목록 또는 규약 
번호들의 범위일수 있다. 

• 원천지 및 목적지포구들 (Source and Destination Ports): 이것들은 개별적 
TCP 나 UDP 포구값들, 상세히 렬거된 포구목록 또는 월드카드포구일수 있다. 

• IPv6 콜라스 (IPv6 Class): IPv 6 머리부에서 엄어 진다. 이것은 개별적 IPv 6 콜라 
스값이나 월드카드값일수 있다. 

• Ipv6 흐름표식 ( IPv6 Flow Label) : IPv 6 머 리부에서 엄 어 진다. 이것은 개별적 
IPv 6 표식값이나 월드카드값이 될수 있다. 

• Ipv4 봉사형 (Type of Service:TOS) : IPv 4 머 리부에서 엄 어 진다. 이것은 개별 
적 IPv 4 의 TOS 값이 나 월드카드값이 될수 있다. 

전송방식과 턴벌방식 

AH 와 ESP 는 둘다 두가지 방식 즉 전송과 런넬방식을 지원한다. 이 두가지 방식의 
조작에 대 해서 는 AH 와 ESP 의 해설을 통해 충분히 리해할수 있는데 그에 대 해 3절과 4 
절에서 서술하였다. 여기서는 간단한 개괄만을 준다. 

전송방식 

전송방식 (transport mode ) 은 웃층의 규약들에 대 하여 초보적 으로 보호를 제 공한다. 
즉 전송방식의 보호는 IP 파케트의 통신부하까지 미친다. 실례들에 TCP , UDP 토막 또는 
인 터 네 트조종통보문규약 (Internet Control Message Protocol : ICMP ) 파케 트가 포함되 는 
데 그모두는 주콤퓨터 규약모임 ( stack ) 에 서 IP 에 대 하여 직 접 조작된다. 일 반적 으로 전송 
방식은 두개의 주를퓨터들사이의 말단 대 말단통신에 리용된다(즉 의뢰기와 봉사기，또 
는 두개의 워크스테이션). 주콤퓨터가 IPv 4 우에서 AH 나 ESP 를 리용할 때 통신부하은 
일반적으로 IP 머리부에 따르는 자료이다. IPv 6 에 대하여 통신부하은 보호에 포함될수 
있는 목적지선택머 리부를 제외 하고는 IP 머 리부와 존재하는 임의의 IPv 6 확장머 리부들에 
따르는 자료이 다. 

전송방식에서 ESP 는 IP 통신부하을 암호화하고 선택적으로 인증도 하지만 IP 머리부 
에 대하여서는 그렇게 못한다. 전송방식에서 AH 는 IP 통신부하과 IP 머 리부의 선택된 부 
분들을 인증한다. 

런넬방식 

런넬방식 (tunnel mode ) 은 전체 IP 파케 트에 대 한 보호를 제 공한다. 이것을 결정하 
기 위해 AH 나 ESP 마당들이 IP 파케트에 첨부된 다음 보안마당들에 전체 파케트를 합치 
여 새 로운《 외 부 ( outer ) > IP 머 리 부를 가지 는 새 로운 외 부 IP 파케 트의 통신부하으로서 
취급한다. 전체 초기의 또는 내부 ( inner ) 파케트는 런넬을 통하여 IP 망의 한 곳에서 다 
른 곳으로 옮겨 간다. 즉 경로의 도중에 있는 경로조종기는 내부파케트를 볼수 없다. 처 
음의 파케트가 교갑화되여 있으므로 새로운 더 큰 파케트는 보안에 대하여 총체적으로 
다른 원천지와 목적지주소들을 가진다. 런넬방식은 SA 의 하나 또는 두개의 말단들이 
IPSec 를 실현하는 방화벽이나 경로조종기와 같은 보안관문일 때 리용된다. 런넬방식에 
서 방화벽들뒤의 많은 가입자들은 IPSec 를 실현하지 않고 안전한 통신에 들어 갈수 있 
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다. 이 가입자들에 의해 생성된 보호되지 않은 파케트들은 국부망의 경계에서 방화벽이 
나 안전한 경 로조종기 의 IPSec 쏘프트웨어 에 의해 설정 된 런넬 방식 SA 들에 의하여 외 부 
망들을 통하여 런넬화된다. 

여기에 런넬방식의 IPSec 가 어떻게 동작하는가를 보여 주는 실례가 있다. 망우의 가입 
자 A 는 다른 망의 가입 자 B 의 목적지주소를 가지는 IP 파케트를 생성 한다. 이 파케트는 A 가 
속한 망경계에서 초기가입자로부터 방화벽이나 안전한 경로조종기에로 경로가 지정된다. 방 
화벽은 모든 나가는 파케트들을 려과하여 IPSec 처리의 요구를 결정한다. 만일 A 로부터 묘에 
가는 파케트가 IPSec 를 요구하면 방화벽은 IPSec 처 리를 하고 그 파케트를 외부 IP 머 리부로 
교갑한다. 이 외부 IP 파케트의 원천지 IP 주소는 그 방화벽 으로 되며 목적지주소는 묘의 국부망 
의 경계를 형성하는 방화벽이 된다. 이 파케트는 B 의 방화벽에서 외부 IP 머리부들만을 조사 
한다. B 의 방화벽에서 외부 IP 머리부는 벗겨 지며 내부파케트는 B 에게 배포된다. 

런넬방식에서 ESP 는 내부 IP 머리부를 포함하여 전체 내부파케트를 암호화하고 선택 
적으로 인증한다. 런넬방식의 AH 는 전체 내부 IP 파케트와 외부 IP 머리부의 선택된 부분 
들을 인증한다. 표 13-2 에 전송 및 런넬방식의 기능을 개괄하였다. 

표 13-2. _ 런넬방식과 전송방식의 기능 _ 


전송방식 SA | 런넬방식 SA 


AH 

ip 통신부하과 ip 머 리 부의 선택된 

전체 내부 IP 파케트와 외부 IP 머 리 


부분들 및 IPv 6 확장머리부들을 

부의 선택된 부분들을 합치여 인 


인증한다. 

증하고 외부 IPv 6 확장머리부들을 
인증한다. 

ESP 

ESP 머 리부에 따라 IP 통신부하과 
모든 IPv 6 확장머리부들을 암호 
화한다. 

내부 IP 파케트를 암호화한다. 

인증을 가지 

ESP 머 리부에 따라 IP 통4부하과 

내부 IP 파케트를 암호화한다. 

는 ESP 

모든 IPv 6 확장머리부들을 암호 
화한다. IP 머 리부는 내 놓고 IP 통 
신부하을 인증한다. 

내부 IP 파케트를 인증한다. 


13.3 인증머리부 

인증머 리 부 ( Au 仕 lentication Header ) 는 IP 파케 트들의 인증과 자료의 완정성 에 대 한 
지원을 제공한다. 자료의 완정성특성은 전송중에 파케트내용의 변경을 적발할수 있게 하 
는것이다. 인증의 특징은 말단체계나 망장치가 사용자나 응용프로그람을 인증하고 따라 
서 전송을 려과할수 있게 한다. 또한 오늘날 인터네트에서 자주 볼수 있는 주소기만공격 
을 방지할수 있 다. 그리 고 AH 는 재 연공격 도 막는다. 

인증은 8장에서 서 술 한것 처 럼 통보 문인 증코드 (message authentication code : 
MAC ) 에 기초하며 따라서 그 두 대방들은 비밀열쇠를 공유해야 한다. 

인증머리 부는 다음의 마당들로 이루어 진다(그림 13-3). 
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Bit 


그림 13-3. IPSec 인증머리부 


• Next Header(8bit) : 이 머 리부에 련이은 머 리부의 형을 식별한다. 

• Payload Length(8bit) : 32 -bit 단어로서 인증머리부의 길이에 2를 던 값. 실례 
로 인증자료마당의 표준길이는 96 bit 즉 3개의 32 -bit 단어 이다. 3단어고정머리 
부와 함께 머리부에는 모두 6개의 단어들이 있는데 마당은 값 4를 가진다. 

• Reversed(16bit) : 앞으로의 리용을 위 한것 이다. 

• Security Parameters Index(32bit) : 보안련 관을 확인 한다. 

• Sepuence Number(32bit) : 단조적으로 증가하는 계수기 값. 후에 론한다. 

• Autiientication Data ( 가변 ) : 이 파케 트에 대 하여 완정 성 검 사값 ( ICV ) 이 나 
MAC 를 포함하는 변수길이 마당 (32 -bit 단어들의 옹근수여 야 한다). 

반재연봉사 

재연공격은 공격자가 인증된 파케트를 복사하고 후에 그것을 공격대상으로 되는 목 
적지에 전송하는 공격이다. 인증된 IP 파케트들을 재사용하는 수신측은 어떤 방법으로 봉 
사를 혼란시키거나 일부 다른 예상외의 결과를 초래할수 있다. Sequence Number 마당 
은 이러한 공격들을 막기 위해 설계되였다. 먼저 송신자에 의한 렬번호발생을 론의한 다 
음 그것이 수신자에 의해 어떻게 처리되는가를 보자. 

새로운 SA 가 설정되면 송신자는 렬번호계수기를 0으로 초기화한다. 파케트가 이 
SA 에 보내 질 때 마다 송신자는 계 수기 를 증가시 키 고 그 값을 Sequence Number 마당에 
설정한다. 따라서 리용되는 첫 값은 1이다. 만일 재연공격을 막을수 있게 된다면 송신자 
는 렬번호가 2 32 -1을 지 나 다시 0으로 순환하지 않도륵 해 야 한다. 그렇지 않으면 같은 
렬번호를 가지는 여러개의 정당한 파케트들이 있게 된다. 만일 2 32 -1의 한계에 도달되 
면 송신자는 이 SA 를 끝내고 새로운 열쇠를 가지고 새 SA 를 교섭한다. 

IP 가 비 접속 ( connectionless ) 이고 믿을수 없는 봉사이므로 규약은 파케트들이 순 
서대로 배렬되며 모든 파케트들이 배달된다는것을 담보하지 못한다. 따라서 IPSec 인 
증문서 는 수신자가 W =64 의 기 정값을 가지 는 크기 유의 창문을 실장하여 야한다는것 을 
지적 한다. 
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고정된 창문의 크기 



N-W —/ \ 서 

정 당한 파케 트가접 수 정 당한 파케르가 아직 접 수되 

되 면표시된다 지 않았으면 표시 되 지 않는다. 


그림 13-4. 반재연꾸밈새 


창문의 오른쪽 끝은 정 당한 파케 트를 접 수했을 때 까지 의 제 일 높은 렬번호 iV 을 표시한 
다. 렬번호가 iV _，+ l 부터 iV 까지 범위에 있는 정확히 수신된 모든 파케트들에 대하여 
창문에는 해당한 홈들이 표시된다(그림 13-4). 파케트를 접수하였을 때 돌아 오는 처리 
는 다음과 같이 진행된다. 

1. 수신된 파케트가 창문안에 떨어 지고 새것이면 MAC 가 검사된다. 만일 그 파케 
트가 확인되면 창문에서 대응하는 홈은 표시된다. 

2. 만일 수신된 파케트가 창문의 오른쪽에 있고 새것이면 MAC 를 검사한다. 그리고 
그 파케트가 확인되면 창문은 이 렬번호가 창문의 오른쪽 끝이 되도록 전진하고 
대응하는 홈은 표시된다. 

3. 수신된 파케 트가 창문의 왼쪽에 있거 나 인증이 실패하면 그 파케 트는 버린 다. 즉 
이것은 검사할수 있는 사건이다. 

완정성검사값 

인증자료마당은 완정 성 검 사값 (Integrity Check Value ： ICV ) 이 라고 부르는 값을 
취한다. 완정성검사값은 통보문인증코드이거 나 MAC 알고리듬에 의해 만들어 진 코드를 
생략한것이다. 현재의 명세서에 근거한 실현은 다음의 것을 지원해야 한다는것을 시사해 
준다. 


• HMAC - MD 5-96 

• HMAC - SHA -1-96 

이 두개는 다 HMAC 알고리듬을 리용하는데 전자는 MD 5 하쉬코드를，후자는 SHA -1 하 
쉬코드를 리 용한다(이 모든 알고리듬들은 9장에서 서술되 였다). 두 경우에 충분한 HMAC 
값이 계산되는데 다음인증자료마당의 기정길이인 처음의 96 bit 로 요약하여 쓸수 있다. 

MAC 는 다음과 같이 계산된다. 
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• 전송중에 변하지 않거 나 AHSA 에 대 하여 말단에 도착한 값으로 예측할수 있는 
IP 머리부마당들. 전송중에 변할수 있고 또 도착한 값이 예측 불가능한 마당들 
은 발송지 와 목적 지 두 곳에 서 계 산을 위하여 평 으로 설 정한다. 

• AH 머리부는 인증자료마당과 다르다. 인증자료마당은 발송지와 목적지에서 계 
산을 위하여 령 으로 설 정한다. 

• 전송중에 변하지 않는다고 가정되는 전체적인 웃준위의 규약자료(실례로 런넬 
방식에서 TCP 토막이나 내부 IP 파케트), 

IPv 4 에 대 하여 변 하지 않는 마당들의 실 례 들은 Internet Header Length 와 
Source Address 이다. 예측 가능한 마당을 내놓고 변하는 마당의 실례는 Destination 
Address 이다. ICV 계산에 대한 우선권이 령으로 되는 변하는 마당들의 실례는 Time to 
Live 와 Header Checksum 마당들이 다. 주소기 만이 방지 되 도록 발송지 와 목적 지 주소 마 
당들이 다 보호된다는데 주의해 둔다. 

IPv 6 에 대 하 여 기 본머 리 부 에 서 의 실 례 들 로 는 Version ( 변 경 불 가능 )， Destination 
Address (예측가능을 제외하고 변경가능) 및 Flow Label (추정에 대하여 변경 및 령으 
로 되는)이 있다. 

전송 및 턴벌방식 

그림 13-5 에는 IPSec 인증봉사를 리용할수 있는 두가지 방법을 보여 주었다. 한가지 
경우로는 인증이 봉사기와 의뢰기워크스테 이션에 직접 제공되는것 이 다. 즉 워크스테 이션 
은 봉사기와 갈은 망이 나 외부망에 있을수 있다. 워크스테 이션과 봉사기 가 보호된 비밀 
열쇠를 공유하는 한 인증과정은 안전하다. 이 경우는 전송방식 SA 를 리용한다. 다른 경 
우 원격의 워크스테 이션은 전체 내부망에 대한 호출에 대해 요청 받은 봉사기가 인증특 
성을 지원하지 않기때문에 자기를 공동의 방화벽에 확인시킨다. 이 경우는 런넬방식 SA 
를 리용한다. 

이 소절에 서 는 AH 에 의해 제 공되 는 인증의 범위 와 두가지 방식 들에서 인증머 리부 
의 위치를 본다. IPv 4 와 IPv 6 에 대한 고찰방법에는 차이가 있다. 그림 13-6 의 자에 전 
형적인 IPv 4 와 IPv 6 파케트들을 보여 주었다. 이 경우 IP 통신부하부분은 TCP 토막이다. 
즉 UDP 나 ICMP 와 같은 IP 를 리 용하는 임의의 다른 규약에 대 한 자료단위일수도 있다. 

IPv 4 를 리용하는 전송방식 AH 에 대하여 AH 는 원래의 IP 머 리부다음과 IP 통신부하전 
에 삽입된다. 이것은 그림 13-6 의 l 의 웃부분에서 보여 준다. 인증은 MAC 계산을 위하여 
령으로 설정된 IPv 4 머리부의 변경가능한 마당들을 제외하고 전체 파케트를 포함한다. 

IPv 6 과 관련하여 AH 는 말단 대 말단통신부하으로 볼수 있다. 즉 중개경로조종기들 
에 의하여 조사되거 나 처 리 되지 않는다. 따라서 AH 는 IPv 6 기 초머 리부와 중계 점머 리부, 
경 로조종머 리부 및 조각확장머 리부들다음에 나타난다. 목적 지선택확장머 리부는 요구되 는 
의미 에 따라 AH 머 리부의 앞이 나 뒤 에 나타날수 있다. 인증은 MAC 계산을 위하여 령 으 
로 설정된 변경가능한 마당들을 제외하고 파케트전체를 포함한다. 

런넬방식 AH 에 대하여 전체적인 본래의 IP 파케트가 인증되고 그 AH 는 원래의 IP 
머리부와 새로운 외부의 IP 머리부(그림의 c ) 사이에 삽입된다. 내부 IP 머리부는 원천지와 
목적지의 주소를 나르는데 이때 외부 IP 머리부는 서로 다른 IP 주소들을 포함할수 있다(즉 
방화벽 이나 다른 보안관문들의 주소들), 
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그림 13-6. AH 인증의 범위 







































런넬 방식 에 서 전체 내 부 ip 머 리 부를 포함하는 전체 적 인 IP 파케 트는 AH 에 의해 보호 
된다. 외부 IP 머리부(그리고 IPv 6 의 경우에 외부 IP 확장머리부들)는 변경 및 예측불가능 
한 마당들을 제외 하고는 보호된다. 


13.4 보안■신부하의 교갑화 

교갑화보안통신부하 (Encapsulating Security Payload ) 는 통보문내용들의 기 밀성과 
전송흐름의 기밀성을 비롯한 기밀성봉사들을 제공한다. ESP 는 선택적특성으로서 AH 와 
갈은 인증봉사들도 제공할수 있다. 

ESP 령식 

그림 13-7 에 ESP 의 파케트형식을 보여 주었다. 그것은 다음의 마당들을 포함한다. 

• Security Parameters Index(32bit) : 보안련관을 식별한다. 

Sequence Number(32bit) : 단조적으로 증가하는 계수기값. 이것은 AH 에서 론의된것처 
럼 반재연기능을 제공한다. 

• Payload Data ( 가변 ): 이것은 암호화에 의하여 보호되는 전송준위의 토막(전송 
방식) 또는 IP 파케트(런넬방식)이 다. 

• Padding(0-255byte) : 이 마당의 목적 은 후에 론의 한다. 

• Pad Length(8bit) : 이 마당의 바로 앞의 메 꾸기 바이 트수를 가리 킨다. 

• Next Header(8bit) : 통신부하자료마당에 포함된 자료의 형을 그 통신부하의 
첫 머리부를 확인하여 식별한다(실례로 IPv 6 의 확장머리부 또는 TCP 와 같은 
웃층의 규약).. 

• Autiientication Data ( 가변 ) : 파케트에서 계산된 완정성 검사값에서 인증자료마 
당을 내놓은 가변길이마당(옹근수개의 32 -bit 단어들이다). 

암호화 및 인증알고리듬 

통신부하정 보, Padding , Pad Length 및 Next Header 마당들은 ESP 봉사에 의 해 암 
호화된다. 만일 통신부하을 암호화하는데 쓰이는 알고리듬이 초기화벡토르( IV ) 등의 암호 
학적동기화자료를 요구하면 그 자료는 통신부하자료마당의 시작에서 엄을수 있다. 만일 
그것 이 포함되면 IV 는 그것 이 암호문의 존재부분이 라고 해도 보통 암호화되지 않는다. 

현재의 명세서에 근거한 실현은 암호블로크련쇄 방식 ( CBC ) (3 장에서 서술)으로 DES 
를 지원할것을 요구한다. 많은 다른 알고리듬들은 DOI 문서 에서 식별자들을 할당하고 따 
라서 암호화에 쉽게 리용될수 있다. 이것들은 다음의것들을 포함한다. 

• 3열쇠3중 DES 

• RC 5 

• IDEA 

• 3열쇠3중 IDEA 

• CAST 

• Blowfish 
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뮷신부하자료 (가번) 


메 꾸기 (0 - 255 bytes ) _ 

메 꾸기 길 이 다음머 리 부 


인증자료 (가변 ) 


그림 13-7. IPSec ESP 형 식 


이 알고리듬은 모두 4장에서 취급되였다. 

AH 와 마찬가지 로 ESP 는 96 bit 의 기존길 이를 가지는 MAC 의 리 용을 지 원한다. 또 
한 AH 와 마찬가지로 현재의 명세서에 준한 실현을 위해서는 HMAC - MD 5-96 과 
HMAC - SHA -1-96 를 지원할것이 요구된다. 

메꾸기 

메 꾸기 마당은 다음의 몇 가지 목적 을 위하여 쓰인 다. 

• 만일 어 떤 암호알고리 듬이 몇개의 바이 트들의 배 수인 평문을 요구하면 Pad 
ding 마당은 평 문 (Payload Data , Padding , Pad Length 및 Next Header 마당 
들로 구성된)을 요구하는 길이까지 확장하는데 쓰인다. 

• ESP 형식은 Pad Length 및 Next Header 마당들이 32 -bit 단어로 정렬될것을 
요구한다. 마찬가지로 암호문은 32 bit 들의 옹근수배 이여야 한다. Padding 마당 
은 이 정렬을 보장하는데 리용한다. 

• 부가적인 메꾸기는 통신부하의 실지길이를 비밀로 하여 부분적인 전송흐름의 
기밀성을 제공하는데 첨부될수 있다. 

전송 및 턴벌방식 

그림 13-8 에 IPSec 봉사를 리용할수 있는 두가지 방법을 보여 주었다. 그림의 웃부 
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Bit : 0 16 24_31 


보안파라메터 색인 (SPI) 
렬 번호 (Sequence Number) 














분에 서 두 가입 자들사이 에 암호화를(선택 적 으로 인증) 직 접 제 공한다. 그림 13-8 의 u 에 
런넬 방식 의 조작을 리 용하여 가상전용망 (virtual private network ) 을 설정 하는 방법 을 
보여 주었다. 

이 실례에서 조작은 인터네트에 접속된 4개의 전용망을 가지고 있다. 내부망의 가입 
자들은 자료전송을 위 하여 인터네트를 리용하지만 다른 인터네트기반의 가입자들과는 작 
용하지 않는다. 매개 내부망의 보안관문에서 런넬들을 해방하면 그 구성은 가입자들의 
보안기능의 수행을 중지하게 한다. 전자는 전송방식 SA 에 의한 기술이고 후자는 런넬방 
식의 SA 를 리용하는 기술이 다. 

이 절에서는 두개의 방식들에 대한 ESP 의 범위를 고찰한다. 고찰방법은 IPv 4 와 
IPv 6 에서와는 좀 다르다. AH 에 대한 론의와 마찬가지로 시작점으로서 그림 13-6 의 -1 
의 파케트형식들을 리용한다. 



1) 전송준위보안 



u ) 린 넬방식 을 경 유한 가상사설망 


그림 13-8. 전송방식 대 런넬방식암호화 


전송방식 ESP 

전송방식 ESP 는 그림 13-9 의 1에서와 같이 IP 에 의해 전송된 자료를 암호화하고 
선택적으로 인증하는데 리용된다. IPv 4 를 리용하는 이 방식에 대하여 ESP 머리부는 전 
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송층머 리 부 (실 례 로 TCP , UDP , ICMP ) 의 바로앞의 IP 파케 트에 삽입되 고 ESP 꼬리 부 
( Padding , Pad Length 및 Next Header •마당)가 IP 파케트다음에 놓인다. 즉 인증이 
선택 되 면 인증자료마당이 ESP 꼬리 부다음에 부가된다. ESP 꼬리 부에 서 전송층의 토막들 
을 모두 합치여 암호화한다. 인증은 ESP 머리부에 있는 모든 암호문들을 다 포함한다. 

IPv 6 과 관련하여 ESP 는 말단 대 말단통신부하으로 볼수 있다. 즉 ESP 는 중개자경 
로조종기 에 의하여 조사되거 나 처 리되지 않는다. 따라서 ESP 머 리부에서는 IPv 6 이 기초 
머 리 부와 중계 점 머 리 부，경 로조종머 리 부 및 조각확장머 리 부다음에 있게 된다. 

목적 지 선택확장머 리 부는 요구에 따라 ESP 의 전이 나 후에 놓을수 있다. IPv 6 에 대 
하여 암호화는 만일 그것 이 ESP 머 리 부다음에 있으면 목적 지 선택확장머 리 부와 ESP 꼬리 
부，그리 고 전체 전송층토막을 포함한다. 또한 인증은 ESP 머 리 부에 암호문을 합하여 진 
행 한다. 

전송방식의 조작은 다음과 같이 개괄할수 있다. 

1. 발송지에 서 전체 전송층토막에 ESP 꼬리 부를 합하여 이 루어 지 는 자료의 블로크 
가 암호화되 고 그 블로크의 평 문은 그것 의 암호문으로 교체 되 여 전송을 위한 IP 
파케트로 형성된다. 인증선택이 되면 인증이 부가된다. 

2. 다음 그 파케트는 목적지에로 경로선택된다. 매 중개경로조종기들은 모든 평문의 
IP 확장머 리 부들에 IP 머 리 부를 합하여 조사하고 처 리할것 을 요구하지 만 암호문은 
조사하지 않는다. 

3. 목적지마디는 임의의 평문 IP 확장머리부들에 IP 머리부를 합하여 조사하고 처리한 
다. 다음 ESP 머 리부의 SPI 에 기초하여 목적지마디는 평문전송층토막을 포함하는 
그 파케트의 나머지를 복호한다. 

전송방식의 조작은 그것을 리용하는 임의의 응용에 대하여 기밀성을 제공하며 따라 
서 모든 개별응용들에서 기밀성을 실현하지 않아도 된다. 또한 이 방식의 조작은 IP 파케 
트의 전체길이에 조금 부가되므로 매우 효과적이다. 이 방식에서 한가지 약점은 전송된 
파케트들에 대 한 전송해석 이 가능한것 이 다. 

런넬방식의 ESP 

런넬방식의 ESP 는 전체 IP 파케트를 암호화하는데 쓰인다(그림 13-9 의 L ). 이 방식 
에 서 머 리 부는 그 파케 트의 앞에 놓이 며 다음 ESP 꼬리 부에 파케 트를 더하여 암호화한다. 
이 방법 은 전송해 석 (traffic analysis ) 을 반격 하는데 리 용된다. 

IP 머 리부가 목적지주소와 가능한 원천지경로조종명령 및 도약별 선택정보를 포함하 
므로 ESP 머리부의 앞에 놓인 암호화된 IP 파케트의 전송을 간단히 할수 없다. 

중개경로조종기들은 이러한 파케트를 처리할수 없을것이다. 따라서 전체 블로크를 
전송해석 이 아니 라 경 로조종에 충분한 정보를 포함하는 새 로운 ip 머 리부로 교갑화하여 야 
한다. 여기서 전송방식은 ESP 특성을 지원하는 가입자들사이의 련결을 보호하는데 알맞 
는 반면에 런넬방식은 방화벽 을 포함하거 나 외부망으로부터 망을 보호하는 다른 종류의 
보안관문이 나 방화벽을 포함하는 구성에서 쓸모 있다. 후자의 경우에 암호화는 외부의 
가입자와 보안관문 또는 두개의 보안관문들사이에서만 진행한다. 이것은 내부망의 가입 
자들에게서 암호화의 처리부담을 덜어 주며 요구되는 열쇠의 수를 줄여 열쇠배포문제를 
간단하게 한다. 
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그림 13-9. ESP 암호화와 인증의 범위 


이 제 외 부의 가입 자가 방화벽 에 의해 보호되 는 내 부망우의 가입 자와 통신하려 고 하 
는 경우와 외부가입자와 방화벽들에서 ESP 가 실현되는 경우를 보자. 

1. 발송국은 목적하는 내부가입 자의 목적지주소를 가지고 내부 IP 파케트를 준비한다. 
이 파케트가 ESP 머리부의 서두에 놓이며 다음 그 파케트와 ESP 꼬리부는 암호화 
되고 인증자료가 부가될수 있다. 결과의 블로크는 목적지주소가 방화벽으로 되는 
새로운 IP 머리부 ( IPv 6 의 경우는 기본머리부에 경로정보머리부나 중계점선택 등의 
확장머리부가 포함된다.)로 교갑화된다. 즉 이것은 외부 IP 파케트를 생성한다. 

2. 외 부파케 트는 목적 지방화벽 에 로 경 로선택 된 다. 매 중개 자경 로조종기 들은 외 부 IP 
머 리 부에 임 의 의 IP 확장머 리 부들을 포함하여 조사하고 처 리 하여 야 하지 만 암호문 
을 조사할 필요는 없다. 

3. 목적지의 방화벽은 외부 IP 머리부에 임의의 외부 IP 확장머리부들을 합하여 조사하고 
처리한다. 다음 ESP 머리부의 SPI 에 기초하여 목적지마디는 그 파케트의 나머지를 
복호하며 내부 IP 파케트의 평문을 회 복한다. 다음 이 파케트는 내부망에 전송된다. 

4. 그 내부파케트는 내부망의 령 또는 그이상의 경로조종기들을 통하여 경로조종되 
여 목적지가입자에게 전송된다. 
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13.5 보안련관성들의 결함 

개별적 SA 는 AH 나 ESP 규약을 실현할수 있지만 둘 다 실현하지는 못한다. 때때로 
특정 의 전송흐름은 AH 와 ESP 들에 의해 제 공되 는 봉사들을 요구한다. 또한 특정 의 전 
송흐름은 가입자들사이에 IPSec 봉사들을 요구할수 있으며 방화벽과 갈은 보안관문들사 
이의 개별적봉사들을 요구할수 있다. 

모든 경우에 여 러개의 SA 들은 갈은 전송흐름에 리용되 여 요구하는 IPSec 봉사들을 
달성 한다. 보안련관묶음 (security association bundle ) 은 요구하는 IPSec 봉사들의 모임 
을 제공하기 위 해 그 전송을 처 리 하여 야 할 SA 들의 렬에 귀 착된다. 그 묶음 ( bundle ) 에 
서 SA 들은 서 로 다른 끝점 들이나 갈은 끝점 들에 서 해 방될수 있 다. 

보안련관들은 다음과 갈은 두가지 방법에 의해 묶음으로 결합될수 있다. 

• 전송린접성 : 같은 IP 파케트에 대하여 런넬설정에 의존하지 않고 한개 이상의 
보안규약을 적용하는데 귀착시켰다. AH 나 ESP 를 결합하는 이 방식은 오직 한 
개 수준의 결합만을 허락한다. 또한 그 처리가 하나의 IPSec 권고로써 수행되므 
로 삽입 ( nesting ) 은 아무러한 리 익도 엄지 못한다. 

• 반복런넬설정 : IP 런넬설정을 통하여 여러층으로 되는 보안규약들을 적용한다는 
것을 지적한다. 이 방식은 개개의 런넬이 경로상의 서로 다른 IPSec 싸이트들 
을 원천지로 하거나 목적지로 할수 있으므로 여러층의 삽입이 가능하다. 

이 두개의 방식들은 결합될수 있다(실례로 보안관문들사이의 런넬 SA 를 통하는 방법 
으로 가입자들사이에 전송 SA 를 가짐으로써). 

SA 묶음들을 고찰할 때 생기는 한가지 흥미 있는 문제는 인증과 암호화가 주어 진 
쌍의 말단들사이 에 적용될수 있다는것 이 다. 그에 대해 아래 에 소개한다. 다음 적 어도 한 
개의 런넬을 포함하는 SA 들의 결합을 본다. 

기밀성과 인증 

암호와 인증을 결합하여 가입자들사이에 기밀성과 인증을 둘 다 가지는 IP 파케트를 
전송할수 있다. 몇가지 방식들을 보자. 

인중선택을 가지는 ESP 

이 방식은 그림 13-9 을 통해 잘 알수 있다. 이 방식에서 사용자는 먼저 보호할 자료 
에 ESP 를 적용하고 다음 인증자료마당을 적용한다. 실지로 두가지 경우들이 있을수 있다. 

• 전송방식의 ESP ： 인증과 암호화는 가입자에 배달되는 IP 통신부하에 적용된다. 
그러 나 IP 머 리 부는 보호되 지 않는다. 

• 런넬 방식 의 ESP ： 인증은 외 부 IP 목적 지 주소 (실 례 로 방화벽 ) 에 배 달되 는 IP 파케 
트전체에 적용되며 그 목적지에서 실현된다. 내부 IP 파케트전체는 비밀성꾸밈새 
에 의하여 보호되 여 내부 IP 목적지 에 로 배포된다. 

다음의 두가지 경우들에 인증은 평문보다 암호문에 적용하는 편이 낫다. 

전송린접성 

암호화다음에 인증을 적 용하는 다른 방법 은 내 부에 존재하는 ESP SA 와 외 부에 존 
재 하는 AH SA 를 가지 는 두개 의 SA 들을 묶어 서 리용하는것 이 다. 이 경 우에 ESP 는 인 
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증선택없 이 리 용된다. 내부 SA 는 전송 SA 이 므로 암호화는 IP 통신부하에 대 하여 진행된다. 
결과 파케트는 ESP 에 련이은 IP 머리부로 구성된다. 다음 AH 는 인증이 변경되는 마당 
들을 내놓고 ESP 에 초기의 IP 머 리부(및 확장들)들도 포함하도록 전송방식 에 적용된다. 
ESP 인증선택 을 가지 는 단일 ESP SA 를 간단히 리용하는데 서 이 방식 의 우점 은 인증의 
발송지와 목적지 IP 주소들을 포함하는 더 많은 마당들을 포함하는것 이 다. 결함은 한개의 
SA 대 두개의 SA 의 간접비용이 다. 

전송-런넬묶음 

암호화에 인증을 선행시키는것은 다음과 갈은 몇가지 리유로 하여 적합하다. 첫째로， 
인증자료가 암호화에 의해 보호되 므로 누구도 그 통보문을 가로 채 여 인증자료를 알지 
못하며 변경시키는것도 불가능하다. 둘째 로，앞으로의 참조를 위하여 목적지 에서 그 통 
보문을 인증정보와 함께 보관할수 있다. 만일 인증정보가 암호화되지 않은 통보문에 적 
용하면 이 렇게 하는것은 더 욱 편리하다. 다른 한편 그 통보문은 재암호화되 여 인증정보 
를 검증해 야 한다. 두 가입 자들사이에 암호화전에 인증을 적용하는 한가지 방법은 내부 
AH 전송 SA 와 외 부 ESP 련결 SA 로 이 루어 진 묶음을 리용하는것 이 다. 이 경 우에 인증은 
변하는 마당들을 제외 하고 IP 머 리부(및 확장)에 IP 통신부하을 합하여 적용된다. 결과의 
IP 파케트는 ESP 에 의한 련결방식으로 처리된다. 즉 그 결과는 인증된 내부파케트전체가 
인증되고 암호화된 다음 새로운 외부 IP 머리부(및 확장)가 부가된다. 

보안련관들의 기본결합 

IPSec 방식 의 문서 는 IPSec 에 준하고 있는 가입자들 (실례로 워 크스레 이 션，봉사기 ) 이 나 
보안관문들(실례로 방화벽，경로조종기)을 지원해야 할 4가지 SA 들의 결합들을 서술한다. 
이것들을 그림 13-10 에서 보여 주었다. 매 그림의 아래부분은 요소들의 물리적련결을 표시 
한다. 웃부분은 하나 또는 그이상의 삽입된 ( nested ) SA 들을 경유한 론리적 련결을 표시한 
다. 매 SA 들은 AH 나 ESP 일수 있다. 가입 자 대 가입 자 SA 들에 대 하여 그 방식은 전송방 
식 과 런넬 방식 일 수 있 으며 그렇 지 않으면 런 넬 방식 이 여 야 한다. 

경우 1 에서 모든 보안들이 IPSec 를 실현하는 말단체계들사이에 제공된다. SA 를 경 
유하여 통신하는 임의의 두 말단체계들에 대하여 그것들은 적당한 비밀열쇠를 공유하여 
야 한다. 가능한 결합들은 다음의것을 포함한다. 

이미 이 여러가지 결합들을 인증，암호화，암호화전의 인증 및 암호한 후의 인증을 
지 원하는데 어 떻게 리 용할수 있는가를 론의하였다. 

경우 2에 대 하여 보안은 관문들사이 에서만 제공되 고 가입 자들은 IPSec 를 실행하지 
않는다. 이 경우는 간단한 가상개 인망지원의 례증으로 된다. 보안방식의 문서는 단일련 
결 SA 만이 이 경우에 필요된다는것을 명기한다. 런넬은 AH , ESP 또는 인증선택권을 
가지는 ESP 를 지원할수 있다. 삽입된 런넬은 IPSec 봉사들이 전체 내부파케트에 적용되 
므로 요구되지 않는다. 

1) 전송방식에서의 AH 

l ) 전송방식에서의 ESP 

n ) 전송방식 任 SP SA 내 부나 AH SA ) 에 서 ESP 에 잇 닿은 AH 

ᄅ) 런넬방식에서 AH 또는 ESP 내부의 가 ， l 또는 n 중의 임의의 하나 

경우 3은 경우 2에 말단 대 말단보안을 부가하여 이룬다. 경우 1과 경우 2에서 론의 
된것과 같은 결합들이 여기서 허락된다. 관문 대 관문런넬은 말단체계들사이의 모든 전 
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송에 대하여 인증이나 기밀성 또는 둘 다 제공한다. 관문 대 관문런넬이 ESP 일 때 이것은 
전송기밀성의 제한된 형식을 제공한다. 개별적가입자들은 말단 대 말단의 SA 에 의하여 
응용들이나 사용자들이 요구하는 임의의 부가적인 IPSec 봉사들을 실현할수 있다. 

경우 4 는 인터네트를 리용하여 어떤 기관의 방화벽 에 도달한 다음 그 방화벽뒤의 어 
떤 봉사기나 워크스테이션에 접근하려고 하는 원격의 가입자를 지원하는 경우이다. 오직 
런넬방식만이 원격가입자와 방화벽사이에 요구된다. 경우 1에서처럼 하나 또는 두개의 
SA 들이 원격가입자와 국부가입자사이에 리용될수 있다. 


13.6 열쇠관리 

IPSec 의 열쇠 관리에는 비밀열쇠의 결정과 배포가 포함된다. 일반적 인 요구조건은 
두가지의 응용들 즉 AH 와 ESP 둘 다에 대하여 전송과 수신쌍들사이의 통신을 위한 4 
개의 열쇠들이다. IPSec 방식의 문서는 두가지 형식의 열쇠관리에 대한 지원을 요구한다. 

• 수동: 체계관리자가 수동적으로 매 체계에 자기자체의 열쇠들과 자기와 통신하 
는 다른 체계들의 열쇠들을 갖추도록 한다. 이것은 비교적 작은 환경에서 현실 
적이다. 

• 자동: 자동화된 체계는 SA 들에 대하여 지령에 의한 열쇠들의 창조를 가능하게 
하며 큰 분산된 체계 에서 열쇠리 용을 쉽게 한다. 
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IPSec 에서 기정의 자동열쇠관리규약은 ISAKMP 八) akley 라고 부르는데 다음의 요소 
들로 이루어 진다. 

• 어우클러열쇠결정규약 : 어우클리 (Oakley) 는 디피-헬만알고리듬에 기초한 열 
쇠교환규약인데 보안은 제공하지 않는다. 어우클리는 또한 일반적으로 특별한 
형식들을 요구하지 않는다. 

• 인 터 네 트보안련관과 열 쇠 관리 규약 (Internet Security Association and key 
Mangement Protocol ：ISAKMP) : ISAKMP 자체 는 특정 의 열 쇠 교환알고리 듬 
을 지 적하지 않는다. ISAKMP 는 여 러 가지 열 쇠교환알고리 듬들을 리 용할수 있 
게 하는 통보문형태 들의 모임 으로 이 루어 진다. 어 우클리 는 ISAKMP 의 초기 판 
의 리용에 위임되는 특정의 열쇠교환알고리듬이다. 

어우클리에 대한 개괄로부터 시작하고 다음에 ISAKMP 를 보기로 한다. 


어우클리열쇠결정규약 

어 우콜리 는 디 피 -헬 만열쇠 교환알고리 듬의 개 선형 이 다. 디 피 -헬 만은 사용자 A 와 묘사 
이의 다음의 대화를 포함한다는것을 가정한다. 두개의 대 역적파라메터들인 큰 씨수 q 
및 인의 원시뿌리 a 에 대한 사전합의가 있어야 한다. 

A 는 우연수 X A 를 자기의 비밀열쇠로서 선택 하고 공개열쇠 Y A =a~ 을 B 에게 전송 
한다. 마찬가지 로 B 는 우연수 X B 를 자기의 비 밀 열쇠 로 선택 하고 A 에게 공개열쇠 
Y B =a X/J 을 보낸다. 그 매개 혹은 비밀대화조종열쇠를 계산할수 있다. 

K=(F S ) Z ^ mod 公 = ( Y a ) Xb mod 公 = ( x XaXb mod 公 

디피-헬만알고리듬은 두가지의 매력적인 특성들을 가지고 있다. 

• 비밀열쇠는 필요할 때면 생성한다. 비밀열쇠들을 오래동안 보관할 필요가 없다. 

• 교환은 대 역 적 파라메 터 들에 대 한 동의 와 다른 하부구조가 미 리 존재 할것 을 요 
구하지 않는다. 

그러 나 [HUIT98] 에 서 지 적 된것 처 럼 디피 -헬 만에 대 한 많은 약점 들이 있 다. 

• 대 방들의 정 당성 에 대한 아무런 정보도 제공되지 않는다. 

• 이것은 계3의 대상 C 가 A 와의 통신에서 B 의 역을 하고 B 와의 통신에서 A 의 
역 을 하는 끼 여듬공격 을 받기 쉽다. A 와 B 는 둘 다 C 와 열 쇠교섭 을 끝내 는데 
이것은 전송을 알수 없게 하고 넘겨 준다. 끼여듬공격은 다음과 같이 진행된다. 

1. B 는 A 의 주소로 된 통보문에 자기 의 공개열쇠 표 5 를 보낸 다(그림 6-16 을 볼 
것). 

2. 적 (E) 은 이 통보문을 가로 챈다. 표는 묘의 공개열쇠 를 가지 고 자기 의 공개열 
쇠 가 아니 라 묘의 사용자식 별자를 가지는 통보문을 A 에 보낸다. 이 통보문은 
그것이 B 의 가입자체계에서 온것처럼 하여 보내진다. A 는 표의 통보문을 받 
고 표의 공개열쇠를 B 의 사용자 ID 로 보관한다. 마찬가지 로 표는 묘에 대 하여 
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A 에 게 서 온것 이 라고 하는 E 의 공개열 쇠 불은 통보문을 보낸 다. 

3. B 는 자기의 비밀열쇠와 Y £ 에 기초하여 비밀열쇠 을 계산한다. A 는 자기 
의 비밀열쇠와 Y £ 에 기초하여 비밀열쇠 K 2 을 계산한다. 묘는 자기의 비밀열 
쇠 표 £ 와 꾸^를 리용하여 을 계산하고 표 £ 와 Y A 을 리용하여 K 2 을 계산 
한다. 

4. 이로부터 E 는 A 도， B 도 자기들이 표와 통신했다는것을 모르게 A 에서 B 에로 
또는 묘에서 A 에로의 통보문들을 고쳐 놓을수 있다. 

• 이 알고리듬은 매우 많은 계산량을 요구한다. 결과로서 그것은 많은 열쇠들을 
요구하는 혼잡 ( dogging ) 공격에 약하다. 피해자는 실지 작업보다 쓸모 없는 
모드제곱을 하여 많은 계산자원들을 소비한다. 

어우클리는 디피-헬만의 약점들을 제거하고 그것의 우점들을 살리도록 설계되였다. 

어우콜리의 특성 

어 우클리알고리 듬은 다섯 가지 중요한 성 질 들에 의해 특징 지 어 진다. 

1. 혼잡공격을 좌절시키는 쿠키로서 알려 진 구조를 리용한다. 

2. 두 대 방들이 어떤 그룹을 형성하는것 을 가능하게 한다. 이것은 본질적 으로 디 피 - 
헬만열쇠교환의 대 역적파라메터들을 정의한다는것 을 의미한다. 

3. 재연공격을 막는데 한번쓰기정보들을 리용한다. 

4. 디 피 -헬 만의 공개열 쇠 값들의 교환을 가능하게 한다. 

5. 중간대 조공격 을 막기 위하여 디 피 -헬 만교환을 인증한다. 

이 미 디피 -헬 만을 론의하였 다. 이 제 이 요소들의 나머 지 를 차례 로 보자. 

먼저 혼잡공격에 대한 문제를 고찰하자. 이 공격에서 적은 정당한 사용자의 발송 
지 주소를 위 조하여 공개디피 -헬 만열 쇠 를 피 해 자에 게 보낸 다. 그러 면 그 피 해 자는 모드 
제 곱을 하여 비 밀열쇠 를 계 산한다. 이 형태의 통보문들을 반복하면 쓸모 없는 작업으 
로 피 해 자의 체 계를 방해할수 있다. 무키교환은 매 개 측들이 초기통보문에서 다른 측 
이 인정 하는 우연수인 쿠키 를 보낼 것 을 요구한다. 그 승인은 디피 -헬 만열 쇠교환의 첫 
통보문에 서 반복되 여 야 한다. 만일 발송지주소가 위 조되 였 다면 적 은 아무 대 답도 엄 지 
못한다. 이 리 하여 적 이 사용자에 게 접 수통지 만 생 성 하고 디 피 -헬 만계 산을 하지 못하게 
할수 있다. 

ISAKMP 는 쿠키 생성 이 다음 세개의 기 본요구조건들을 만족할것을 요구한다. 

1. 쿠키는 개 별적대상들에 의존해 야 한다. 이것은 실지의 IP 주소와 UDP 포구를 리 
용하여 무키 를 얻 고 다음 그것 을 리용하여 피 해 자를 임의 로 선택한 IP 주소들 또 
는 포구들로 궁지 에 빠뜨리는 공격을 막는다. 

2. 발행 자가 아닌 임의의 사람이 그 발행 자가 접수할 쿠키들을 생성할수 없어 야 한 
다. 이것은 발행 자가 생성 에서 국부적비밀정 보와 쿠키의 이 후의 검증을 리 용한다 
는것 을 의 미한다. 이 비밀정 보는 임의 의 특정한 무키 로부터 추론할수 없어 야 한 
다. 이 조건들의 요점은 발행자가 그것의 무키들에 대한 복사를 보관할 필요가 
없는데 (복사를 보관하면 쿠키는 비밀발견에 보다 약해 진다.) 필요하면 들어 온 
쿠키승인을 검증할수 있다. 
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3. 쿠키생성 및 검증방법들은 처리기자원들을 방해하려는 공격들을 막는데 민첩해야 한다. 

무키를 창조하는 방법은 원천지와 목적지의 IP 주소, UDP 와 목적지포구들 및 국부 
적 으로 생성된 비밀값들에 대 하여 고속하쉬 (실례 로 MD 5) 를 진행하는것 이 다. 어우클리 
는 디피-헬만열쇠교환을 위해 서로 다른 군들을 리용한다. 매개 군들은 두개의 대역적파 
라메터들의 정의 와 알고리듬식 별자를 포함한다. 현재의 명세서 에는 다음의 군들이 포함 
되여 있다. 

• 768 bit 의 제곱승모드계산 

2 768 - 2 704 - 1 x 2 64 x 心的 8 x n\+ 149686) 
a = 2 

• 1024 bit 의 제곱승모드계산 

상 = 2 1024 _ 2 960 _ 1 x 2 64 X (L2 894 x ^ J+ 129093) 
a = 2 

• 1024 bit 의 제 곱승모드계 산 

a 파라메터들이 결정된다. 

• 2 155 이 상의 타원곡선군 

a 생성기 (16 진) : X =7 B , Y =1 C 8 
a 타원곡선 파라메 터 (16 진) : A =0, Y =7338 F 

• 2 185 이 상의 타원곡선 

n 생성기 (16 진) : X =18， Y=D 
a 타원곡선파라메 터 (16 진) : A =0, Y =1 EE 9 

첫 세개의 군들은 고전 Diffie - Hellman 알고리듬이 리용하는 모드에 관한 제곱이다. 
마지막 두개의 군들은 6장에서 서술한 디피-헬만에 류사한 타원곡선을 리용한다. 

어 우클리 는 재 연공격 에 대 처하여 한번쓰기정 보들을 리용한다. 매 개 한번쓰기정 보들 
은 국부적으로 생성된 모조란수이다. 한번쓰기정보들은 교환의 어떤 부분동안에 응답으 
로 나타나 암호화된다. 

어우클리는 서로 다른 세가지 인증방법들을 리용한다. 

• 수자서 명 : 열쇠 교환은 서 로 입 수가능한 하쉬 들을 서 명 하는것 으로 인증한다. 즉 
매개 대상들은 그 하쉬를 자기들의 비밀열쇠로 암호화한다. 그 하쉬는 사용자 
ID 들이 나 한번쓰기정 보들파 같은 중요한 파라메 터들에 대 하여 생성된다. 

• 공개열쇠암호 : 열쇠교환은 식별자들이나 한번쓰기정보들과 같은 파라메터들을 
송신자의 비밀열쇠로 암호화하여 인증된다. 

• 대 칭암호 : 어 떤 대 역밖의 기 구에 의 해 배 포된 열쇠 를 대 칭암호로써 암호화하는 
것으로 열쇠교환을 인증한다. 

어 우클리 에 의한 열 쇠 교환실 례 

어우클리명세서 에는 열쇠교환규약에서 리용할수 있는 많은 교환실례 들이 포함되 여 
있 다. 어우클리의 특징 을 주기 위 해 공격 적 인 열쇠 교환 (aggressive key exchange ) 이 
라고 부르는 하나의 실례를 보자. 세개의 통보문들만 교환되므로 그렇게 부론다. 

그림 13-11 에 도전적열쇠교환규약을 보여 주었 다. 첫 단계 에서 송신자( I )는 무키 , 
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리용되는 군 및 이 교환을 위한 I 의 공개디피-헬만열쇠를 전송한다. I 는 이 실례에서 쓰 
이는 인증알고리듬 및 제공된 공개열쇠암호를 지적한다. 또한 이 통보문에는 I 의 식별자 
들과 수신자 및 이 교환을 위 한 I 의 한번쓰기정보가 포함된다. 마지막으로 I 는 자기의 
비밀열쇠를 리용하여 두개의 식별자에 대한 서명，한번쓰기정보，디피-헬만공개열쇠 및 
제공된 알고리듬을 첨부한다. 

수신자 묘가 그 통보문을 받으면 I 의 공개서명열쇠로 그 서명을 검증한다. 묘는 군과 
마찬가지로 I 의 무키，식별자 및 한번쓰기정보를 다시 되풀이하여 그 통보문을 확인한다. 
묘도 역시 통보문에 이 교환을 위하여 주키，자기의 디피-헬만공개열쇠, 선정된 알고리 
듬(제공된 알고리듬들속에 있어 야 한다)，자기의 식별자，한번쓰기정보를 포함한다. 마 
지막으로 묘는 자기의 비밀열쇠를 리용하여 두개의 식별자，두개의 한번쓰기정보들，군， 
두개의 디 피-헬만공개 열쇠 및 선정된 알고리 듬에 서명을 진행 하여 그 서명을 부가한다. 

I 가 두번째 통보문을 받으면 묘의 공개열쇠로 그 서명을 검증한다. 통보문의 한번쓰 
기정보값에 의해 그것이 이전의 통보문의 재연이 아니라는것을 보증한다. I 는 통보문을 
R 에게 돌려 보내여 자기가 묘의 공개열쇠를 받았다는것을 검증하는것으로 이 교환을 끝 
맺 는다. 

ISAKMP 

ISAKMP 는 보안련관을 확립하여 교섭 을 진행 하고 변경 및 삭제 하기 위한 절 차 
( procedure ) 들과 파케 트형 식들을 정의한다. SA 의 설정부분으로서 ISAKMP 는 열쇠 교 
환과 인증자료교환을 위하여 통신부하을 정의한다. 이 통신부하형 식들은 특정의 열쇠 교 
환규약，암호알고리듬 및 인증기구에 의존하지 않고 일관적으로 꾸밈새를 제공한다. 

ISAKMP 머 리 부형 식 

ISAKMP 통보문은 하나 또는 그이상의 통신부하들이 잇 닿은 ISAKMP 머 리부로 이루 
어 진다. 그것들은 모두 전송층규약에 의하여 운반된다. 명세서는 실행 을 위하여 전송규 
약에서 UDP 를 리용하여 야 한다는것을 지적한다. 

그림 13-12 의 자에 어떤 ISAKMP 통보문의 머리부형식을 보여 주었다. 그것은 다음 
의 마당들로 이루어 진다. 

• 송신자쿠키 (64 bit ): SA 의 확립 , SA 통보 또는 SA 삭제 를 시 작한 사람의 무키 

• 수신자무키 (64 bit ): 수신자의 쿠키 즉 송신자로부터의 첫 통보문에서 는 무효이 다. 

• 다음통신부하 (8 bit ): 통보문의 첫 통신부하의 형 을 가리킨 다. 통신부하에 대 해 
서는 다음의 소절에서 론의한다. 

• 기본판본 (4 bit ): 사용중의 ISAKMP 의 기본판본을 가리킨다. 

• 부판본: 사용중의 부차적판본을 가리킨다. 

• 교환형 (8 bit ): 교환의 형 을 가리킨다. 그에 대 해 이 절의 마지 막에 론의 한다. 기 
발 (8 bit ): 이 ISAKMP 교환을 위 한 특정 한 선택 들의 설정 을 가리 킨다. 지 금까지 
는 두개의 bit 들이 정의되였다. 즉 암호화비트는 머리부에 따르는 모든 통신부하 
들이 이 SA 를 위한 암호알고리듬으로 암호화되면 설정된다. 사전자료거부비트는 
SA 의 확립전에는 암호화된 자료를 접수하지 않도륵 한다는것을 지정한다. 

• 통보문 ID (32 bit ): 이 통보문에 대한 유일한 식별자 

• 통보문길 이 (32 bit ): 전체 통보문(머 리 부와 모든 통신부하들)의 길 이 
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- 선창자무키 (Initiator Cookie) 


응답자무키 (Responder Cookie) 一! 


다음통신부하 |기본판본 보조판본 | 교환형 

기발 


통보문 ID 


길이 

P 


D ISAKMP 머러부 


Bit: 0 8 16 3 



D 일반통신부하머리부 
그림 13-12. ISAKMP 형식 


ISAKMP 통신부하형 태 

모든 ISAKMP 통신부하들은 그림 13-12 의 l 에서 볼수 있는것처 럼 같은 일반머 리부 
로 시작된다. 다음통신부하마당은 이것이 그 통보문의 마지막통신부하이면 0 값을 가지고 
아니면 그 값은 다음의 통신부하의 형을 가리킨다. 

표 13-3 에 ISAKMP 에 대하여 정의된 통신부하형들을 개괄하고 매 통신부하들의 부 
분인 마당들 또는 파라메터들을 렬거하였 다. SA 통신부하은 SA 의 설정 을 시 작하는데 쓰 
인다. 이 통신부하에서 해석파라메터의 령역은 협상이 진행중에 있는 DOI 를 식 별한다. 
IPSec DOI 가 그 하나의 실 례 인데 ISAKMP 는 다른 문맥 으로도 쓸수 있다. 상태 
( Situation ) 파라메터는 이 협 상에 대 한 보안방략을 정 의 한다. 즉 본질적 으로 암호화와 
기밀성에 요구되는 보안수준들이 렬거된다. 

제 안통신부하 (Proposal Payload) 은 SA 발행 기 간에 쓰이는 정보를 포함한다. 통신부 
하은 봉사들과 기 구들을 협 상하고 있는 SA 의 규약 (ESP 또는 AH ) 을 가리킨다. 통신부 
하은 또한 송신자의 SPI 나 변환의 수도 포함한다. 매개 변환들은 변환통신부하에 포함된 
다. 다중변환통신부하들의 리 용은 송신자가 몇 가지 가능성 (능력)을 계 공할수 있게 해 주 
는데 수신자는 그중 하나를 선택 하거 나 제 공을 부결할수 있다. 

변환통신부하 (transform payload) 은 지정된 규약에 의해 송신통로를 안전하게 하 
는데 쓰이도록 보안변환을 정 의한다. 변환번호파라메터 는 수신자가 특정 의 통신부하을 
리용하여 그 변환의 접수를 지적할수 있도록 통신부하을 확인하는데 리용된다. 변환- ID 
와 속성 마당들은 구체 적 인 변환 ( ESP 에 는 3중 DES ， AH 에 는 HMAC - SHA -1-96) 을 그것 
과 관련한 속성들(실례로 하쉬길이)을 가지고 확인한다. 
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열쇠교환통신부하 (Key Exchange Payload ) 은 어우클리，디 피-헬만 및 PGP 에 쓰이는 
RSA 기초의 열쇠교환들을 비롯한 여 러 열쇠교환기술들에 쓸수 있다. 열쇠교환자료마당은 대 
화열쇠 를 생 성 하는데 요구되 는 자료를 포함하며 열쇠 교환알고리 듬에 의 하여 결정된 다. 

식별통신부하 (Identification Payload ) 은 통신하는 대 방의 신원을 결정하는데 리용 
되며 정보의 확실성을 결정하는데 리용할수 있다. 일반적으로 ID Data 마당은 IPv 4 또 
는 IPv 6 주소를 포함한다. 

중명 서 통신부하 (Certificate Payload ) 은 공개 열쇠의 증명서를 나른다. 그 Certific 
ate Encoding 마당은 증명서의 형이나 증명서관련의 정보를 가리킨다. 거기에는 다음의 
것들이 포함될수 있다. 


• PKCS #7 을 리 용한 X . 509증명서 

• PGP 증명 서 

• 서명된 DNS 열쇠 

• X . 509증명서-서명 

• X . 509증명 서 -열 쇠교환 

• Kerberos 의 표식 

• 증명서 취소목록 (Certificate Revocation List ： CRL ) 

• 권한취소목록 ( Au 比 lority Revocation List ： ARL ) 

• SPKI 증명 서 

ISAKMP 교환의 임의의 순간에 송신자는 다른 통신상대의 증명서를 요구하는 중명 
서요구통신부하 (Certificate Request Payload) 을 포함할수 있다. 그 통신부하은 접 수가 
능한 한개이상의 증명서형과 접수가능한 한개이상의 증명국을 렬거할수 있다. 

하쉬 통신부하 (Hash Payload) 에 는 통보문의 일부와 ISAKMP 상태 를 하쉬 한것 또는 
ISAKMP 의 상태만을 하쉬함수로 생성한 자료가 들어 간다. 이 통신부하은 통보문중의 
자료의 완정성을 검증하는데 리용할수 있는데 부인불가능한 봉사를 제공하는데도 리용할 
수 있는 가능성이 있다. 

서 명 통신부하은 통보문 및 /또는 ISAKMP 의 일 부 상태 들에 서 수자서 명 함수에 의하여 
생성된 자료를 포함한다. 이 통신부하은 통보문자료의 완정성을 검증하는데는 리용되지 
만 비거절봉사들에는 리용할수 없다. 

한번쓰기정보통신부하 (Nonce Payload) 은 교환기 간에 그 유효성 을 담보하며 재 연공 
격을 막는데 리용되는 우연자료를 포함한다. 

통보통신부하 (Notification Payload) 에 는 해 당 SA 또는 해 당 SA 협 상과 관련한 오 
유나 상태정보가 포함된다. 

다음의 ISAKMP 오유통보문들이 정의되여 있다. 


Invalid Payload Type 
DOI Not Supported 
Situation Not Supported 
Invalid Cookie 
Invalid Major Version 
Invalid Minor Version 
Invalid Exchange Type 
Invalid Flags 
Invalid Message ID 
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Invalid Protocol ID 
Invalid SPI 
Invalid Transform ID 
Attributes Not Supported 
Not Proposol chosen 
Baol Proposal Syntax 
Payload Malformed 
Invalid Key Information 
Invalid Cert Encoding 


Invalid Certificate 
Bad Cert Request Syntax 
Invalid Cert Authority 
Invalid Hash Information 
Authentication Failed 
Invalid Signature 
Address Notification 






지금까지 정의된 ISAKMP 상태통보문만이 접속된다. 이 ISAKMP 통보들외에 DOI - 
특유의 통보들시 쓰인다. IPSec 에 대하여 다음의 부가적인 상태통보문들이 정의된다. 

• 수신자의 생 명 주기 (Responder-Lifetime) : 수신자가 선택 한 SA 의 생 명 주기 를 
알려 준다. 

• 재 연상태 (Replay-Status) : 수신자가 반재 연적 발을 하겠 는가 않겠는가 하는 수 
신자의 선택을 명백히 확인하는 경우에 쓰인다. 

• 첫 접촉 (Initia 卜 Contact): 대방에게 이것이 그 체계에서 확립되는 첫 SA 라는 
것을 알려 준다. 이 통보의 접수자는 송신측의 체계가 재기동되며 역시 기존의 
SA 에 접근하지 않는다고 가정 하며 그때 송신측체계와의 모든 SA 들을 해소할 
수 있다. 

소거통신부하 (Delete Payload) 은 송신자가 그 자료기지 로부터 제거 하며 따라서 더 

이상 유효하지 않는 하나 또는 그이상의 SA 들을 가리킨다. 

ISAKMP 통보문교환 

ISAKMP 는 통보문교환을 위한 구조에 기 초블로크로서 봉사하는 통신부하형 들을 제 
공한다. 그 명세서는 다섯개의 기정의 교환형들을 지원한다. 즉 이것들을 표 13-4 에서 
개 괄하였 다. 표에서 SA 는 관련된 규약들과 변환통신부하들을 가리킨다. 

기본통보문교환 (Base Exchange) 에서는 열쇠교환과 인증자료가 함께 전송된다. 이 
것은 신원보호를 제공하지 않는 대신 교환의 회수를 최소화한다. 첫 두개의 통보문들은 
쿠키 들을 제 공하고 SA 를 동의 한 규약과 변환들을 제 정한다. 쌍방은 한번쓰기 정 보를 리 
용하여 재 연공격 에 대 항한다. 마지 막 두개 의 통보문들에 서 는 열 쇠 관련정 보들, 신원정 보외 
에 처 음 두개 의 통보문들로부터 의 열쇠，사용자 ID , 한번쓰기정 보들을 인증하기 위 하여 쓰 
이는 AUTH 통신부하를 교환한다. 

신원 보호통보문교환 (Identity Protection Exchange) 에 서 는 기 본통보문교환을 확장 
하여 사용자들의 신원을 보호한다. 첫 두 통보문들에서 SA 를 제정한다. 다음 두개의 통 
보문들은 열쇠 교환의 재 연공격 에 대 항하기 위해 한번쓰기정 보들과 함께 열쇠를 교환한다. 
대 화열쇠 가 일 단 계산되 면 쌍방은 수자서명 이 나 경우에 따라서는 공개열쇠들을 보증하는 
증명서 라고 하는 인증정보를 포함하는 암호화된 본문들을 교환한다. 

통보문교환에 만 기초한 ^ (Authentication Only Exchange) 은 열쇠 교환을 하지 
않고 호상인증을 하는데 쓰인다. 첫 두 통보문틀은 SA 를 확립한다. 그외 수신자는 두번 
째 통보문을 리용하여 그것 의 ID 를 나르고 인증을 리 용하여 그 통보문을 보호한다. 송 
신자는 세번째 통보문을 보내여 그것의 인증된 ID 를 전송한다. 

공격적인 통보문교환 (Aggressive Exchange) 에서는 신원에 대한 보호를 제공하지 
않는 대신에 교환의 회수를 최소화한다. 첫 통보문에서 송신자는 규약과 변환선택들을 
제 시하여 SA 를 제 안한다. 또한 송신자는 열쇠교환을 시 작하고 자기의 ID 를 보낸다. 두 
번째 통보문에 서 수신자는 특정 의 규약과 변환을 가지 는 SA 의 접 수를 알리 고 열쇠교환 
을 끝내며 전송된 정보를 인증한다. 세번째 통보문에서 송신자는 공유된 비밀대화열쇠로 
암호화된 앞의 정보를 포함하는 인증결과를 전송한다. 

정 보의 교환 (Infonnational Exchange) 은 SA 관리 를 위한 정 보의 한방향전송에 쓰 
인다. 
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표 13-4. 


ISAKMP 의 통보문교환형 래 


교환 주목 


T) 기본통보문교환 

(1) 

I—R: 

SA; 

NONCE 


ISAKMP-SA 협의를 시작한다. 

(2) 

R—I: 

SA ； 

NONCE 


기본 SA 가 합의된다. 

(3) 

I—R: 

KE ； 

ID! : AUTH 


열쇠가 생성된다. 송신자의 신원이 수신자에 
의해 검증된다. 

(4) 

R 서 : 

KE ； 

ID 次 ；AUTH 


수신자신원이 송신자에 의해 검증, 열쇠가 
생성되고 SA 가 확립된다. 





니 

신원보호통보문교환 

(1) 

卜 R: 

SA ； 



ISAKMP-SA 협의를 시작한다. 

⑵ 

R^I ： 

SA 



기본 SA 가 합의된다. 

⑶ 

I—R: 

KE ； 

NONCE 


열쇠가 생성된다. 

(4) 

R^I ： 

KE ； 

NONCE 


열쇠가 생성된다. 

(5) 

I ᅳ R: 

KE; 

IDi；AUTH 


송신자의 신원 이 수신자에 의해 검 증된다. 

(6) 

R—I: 

ID r ；AUTH 


수신자신원 이 송신자에 의해 검 증된 다. SA 






가 확립된다. 

c) 인증만에 의한 통보문교환 

(1) 

I—R: 

SA ； 

NONCE 


ISAKMP-SA 협의를 시작한다. 

⑵ 

R^I ： 

SA : NONCE ； ID r ； AUTH 기 본 SA 가 합의 된 다. 수신자신원 이 송신자에 






의해 검증된다. 

⑶ 

I—R: 

IDt ；auth 


수신자신원 이 송신자에 의해 검 증된 다. SA 






가 확립된다. 





근) 

공격작면 통보문교환 

(1) 

I—R: 

SA ； KE ； NONCE ； ID 


ISAKMP-SA 협 의 와 열 쇠교환을 시 작한다. 

(2) 

I: 

SA ； KE ； NONCE ； IEfe；AUIH 

송신자의 신원 이 수신자에 의해 검 증된다. 






열쇠가 생성된다. 기본 SA 가 합의된다. 

(3) 

I—R: 

AUTH 


수신자의 신원 이 송신자에 의해 검 증된다. 






SA 가 확립된다. 

n) 통보의 교환 

(1) 

I—R: 

N/D 



오유나 상태통지 또는 삭제 


기호: 


1= 송신자 
R= 수신자 

* = ISAKMP 머 리부다음의 통신부하는 암호화된다 
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참고할 Web 싸이트들 


• IP Security Drotocol ( ipsec ) Charter ： 최 신 RFC 들과 IPSec 에 대 한 인 터네 
트대본들 

• IP Security Working Group News ： 작업그룹문서들 우편기록，관련기술론문 
들 및 기타 자료 

• IP Security ( IPSEC ) Resoruces ： IPSec 를 실현하는 회 사들에 대 한 목록 및 
기타 자료 


문 제 

1. AH 처 리를 론하는데서 IP 머 리부의 모든 마당들이 MAC 계산에 리용되지 않는다는 
것이 취급되였다. 

1) IPv 4 머리부의 매개 마당들에 대하여 그 마당이 불변 또는 가변이지만 예측가 
능한가 그렇지 않으면 가변인가를 설명하시오. 

2) IPv 6 머리부에 대하여 우의 요구에 대답하시오. 

3) IPv 6 확장머리부들에 대하여 우의 요구에 대답하시오. 

매 경 우에 대 하여 그 매 마당을 선택한 리 유를 밝히 시 오. 
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2. 런넬방식을 리용할 때 새로운 외부 IP 머 리부가 구성된다. IPv 4 와 IPv 6 둘 다에 

대 하여 외부와 내부의 각각의 외부또머 리부마당과 외부파케트의 매 확장머 리부의 
사이관계를 밝히시오. 즉 어느 외부값들이 내부값들에서 유도되며 내부값들에 무 
관계 하게 구성 되 는가를 지 적 하시 오. 

3. 말단 대 말단인증과 암호는 두 가입자들사이에서 요구된다. 

1) 인증하기전에 암호화가 적용되는 전송린접 

2) 인증하기전에 암호화가 적용되는 런델 SA 내부에서 묶음된 전송 SA 

3) 암호화하기전에 인증이 적용되는 런델 SA 내부에서 묶음된 전송 SA 
을 보여 주는 그림 13-6 과 13-9 와 류사한 그림을 그리시오. 

4. IPSec 방식의 문서는 두개의 전송방식 SA 들이 같은 말단 대 말단흐름우의 AH 와 
ESP 의 두 규약들을 허 락하도록 한다. 

5. 1) ISAKMP 교환형 들 (표 13-4) 중에 서 어 느것 이 공격 적 인 어 우클리열쇠교환(그림 

13.11) 에 대 응하는가? 

2) 공격 적 인 어 우클리열쇠교환에 대 하여 매 통보문에 서 의 어 느 파라메터 들이 어 
느 ISAKMP 통신부하형들에 들어 가는가를 지적 하시오. 


부록 13: 호상련결망과 인테 II 트규약 

이 부록에 인터 네트규약들에 대 하여 개괄하였다. 먼저 호상련결망을 제공하는데서 
인터네트규약의 역할에 대하여 개괄한다. 다음 두개의 기본 호상련결망규약들인 Ipv 4 와 
Ipv 6 를 소개한다. 

인테^트규약의 역할 

인터네 트규약 ( IP ) 은 여 러개의 망들을 거 쳐 말단체계들을 호상접속하는 기능을 제공 
한다. 이 를 위하여 IP 가 매 개 말단체 계 들과 경 로조종기 들에 장비된다. 원천지 말단체 계 에 
서 더 높은 준위의 자료는 전송을 위해 IP 규약자료단위 ( PDU ) 로 교갑화된다. 다음 이 
PDU 는 하나 또는 그이상의 망들과 련결된 경로조종기들을 통과하여 목적지말단체계에 
도달한다. 

경 로조종기 는 다음의 것 들을 포함하는 망들속에 서 여 러 가지 차이 들을 처 리할수 있어 
야 한다. 


• 주소화방식들 : 망은 장치들에 주소들을 할당할 때 서로 다른 방식들을 리용할수 
있다. 실례로 IEEE 802 LAN 접속한 매개 장치들에 16 -bit 또는 48_ bi 松진주소 
들을 리용하며 X . 25공개파케트-절환망은 12자리 10진주소들을 리용한다 (48 -bit 
주소에 대하여 자리당 4 bit 로 부호화된다). 지 역망주소화의 일부 형식 이 등록 
부봉사와 마찬가지로 제공되여야 한다. 

• 최대파케트크기들 : 한개의 망으로부터 파케트들은 더 작은 조각들로 조개져 다 
른 망으로 전송될수 있다. 이때의 처리를 조각화(: fragmentation ) 라고 부론다. 
실례로 에써네트任 thernet ) 에서는 최대파케트크기가 1500 byte , X . 25망들에서 
는 최 대 파케 트의 크기 가 lOOObyte 인것 이 보통이 다. 에써 네 트체 계 에 서 전송되 고 
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X . 25 망에 서 의 재 전송을 위 하여 경 로조종기 에 의 해 서 지 정 되 는 파케 트는 들어 
오는 파케트들을 두개의 보다 작은것들로 조겔수 있게 되여야 한다. 

• 대 면부들 : 여 러 망들에 대 한 하드웨 어 와 쏘프트웨 어대 면 부들은 서 로 다르다. 
경로조종기의 개념은 이 차이들과 독립이여야 한다. 

• 믿음성 :여러가지 망봉사들은 믿음성 있는 말단 대 말단가상회로부터 믿을수 없 
는 봉사까지의 임의의것을 계공할수 있다. 경로조종기들의 조작은 망의 믿음성 
에 대한 가정에 의존하지 말아야 한다. 


말단체 계 Y _ 말단체 계 Y 

D 경로조종기 1 경로조종기 2 [] 

LAN | 1 LAN I 



그림 13-13. TCP / IP 에 대한 구성실례 


경로조종기의 조작은 그림 13-13 에서와 같이 인터네트규약에 의존한다. 이 실례에서 
는 TCP / IP 규약조 ( suite ) 의 인터네트규약 ( IP ) 이 그 기능을 수행한다. IP 는 경로조종기들 
과 마찬가지로 모든 망들의 매 말단체계들에서 실행되여야 한다. 또한 매 말단체계는 원 
만히 련결되 기 위하여 IP 상의 호환규약들을 가져 야 한다. 그림 13-13 에서 는 말단체 계 X 
로부터 말단체계 Y 에로 자료블로크의 전송을 고찰하였다. 표에서 IP 층은 표의 TCP 로부 
터 구에 보낼 자료블로크들을 접수한다. IP 층은 꾼의 대 역 인터네트주소들을 서술하는 머 
리부에 불는다. 그 주소들은 두개의 부분들 즉 망식별자나 말단체계식별자속에 있다. 이 
블로크를 IP 파케 트로서 귀 착시 킨다. 다음으로 IP 는 목적 지 ( Y ) 가 다른 부분망에 있 다고 
인정한다. 따라서 첫 단계는 파케트를 경로조종기에 보내는것 이다. 이 경우에는 경로조 
종기 1에 보낸다. 이를 위해 IP 는 그 자료단위를 적 당한 주소정보와 함께 LLC 에 넘겨 
준다.그러면 LLC 는 MAC 에 넘겨 줄 LLC PDU 를 창조한다. MAC 층은 머리부가 경로 
조종기 1의 주소를 가지는 MAC 파케트를 창조한다. 다음 그 파케트는 LAN 을 거쳐 경 
로조종기 1로 간다. 
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경 로조종기는 그 파케트와 LLC 머 리부 및 꼬리부들을 제거 하고 IP 머 리부를 해석하 
여 그 자료의 최종목적지 (이 경우 Y ) 를 결정한다. 이때 경로조종기는 경로조정결심을 
내려야 한다. 두가지 가능성들이 있다: 

1. 목적지의 말단체계 모는 경로조종기가 불은 부분망들중의 하나에 직접 접속된다. 

2. 목적 지 에 도달하기 위하여 하나 또는 그이 상의 부가되 는 경 로조종기 들을 통과하 
여 야 한다. 

이 실례에서 파케트는 목적지에 도달하기전에 경로조종기 2를 통하여 경로조종되여 
야 한다. 따라서 경로조종기 1은 중개망을 경유하여 경로조종기 2에 IP 파케트를 보낸다. 
이때 그 망에서의 규약들이 리용된다. 실례로 중개망이 X . 25망이면 IP 자료단위는 적당 
한 주소정보와 함께 X . 25파케트로 포장되여 경로조종기 2에 도달한다. 이 파케트가 경 
로조종기 2에 도달하면 그 파케트머리부는 해제된다. 경로조종기는 이 IP 파케트가 경로 
조종기 가 붙어 있는 부분망에 직 접 접 속된 Y 에 보내 진 다는것 을 결 정한다. 따라서 경 로 
조종기 는 구의 목적 지주소를 가지 고 파케 트를 생 성하여 LAN 으로 내 보낸 다. 마지 막에 
그 자료는 Y 에 도착하여 거 기 에서 파케 트 ， LLC 및 인터네 트머 리부들과 꼬리부들이 해 
제된 다. 

IP 에 의해 제 공되 는 이 봉사는 믿 을수 없는것 이 다. 즉 IP 는 모든 자료들이 배 달되 거 
나 그 배달된 자료가 도착하는것이 규칙적으로 진행된다는것을 담보하지는 않는다. 발생 
된 오유로부터 회복은 다음의 웃층의 책임이다(이 경우 TCP ). 이 수법은 큰 유연성을 
제 공한다. 배 달이 담보되지 않으므로 임의의 부분망들에서 특정한 믿음성 요구는 없다. 
따라서 규약은 부분망형들의 어떤 조합으로 가동할것 이다. 

배 달렬 (比 ie sequence of delivery ) 이 담보되 지 않으므로 다음의 파케 트들은 서 로 
다른 경로들을 따라 인터네트를 통과할수 있다. 이것은 규약이 경로들을 변경시켜 호상 
망에서의 혼란과 실패에 대처할수 있게 한다. 

IPv4 

수십년동안 IP 판본 4는 TCP / IP 규약구성 방식 의 초석 으로 되 여 왔다. 그림 13-14 에 
최소 20 octet 또는 160 bit 의 IP 머 리부를 보여 주었다. 그 마당들은 다음과 같다. 

Version(4bit) : 규약의 발행 을 제 시 하는 판번호를 지 정 한다. 그 값은 4이 다. 

Internet Header Length(THL) (4bit) : 머 리부의 길 이는 32- bit 단어 이 다 . 최 소값 
은 20 octect 의 최 소머 리 부길 이일 때 5이 다. 

Type of Service(8bit) : 파케트의 상대적 우선권으로 말단체계 IP 모둘들과 파케트 
의 경 로에 따르는 경 로조종기 들에 대 한 지 도서 로 제 공된 다. 

Total Length(16bit) : 옥레드로 표시된 총 IP 파케트의 길이 이 다. 

Identification(16bit) : 발송지 주소，목적지 주소 및 사용자규약과 함께 파케트를 유일 
하게 식별하기 위한 렬번호. 따라서 식별자는 파케트의 발송지주소，목적지주소 및 그 
파케트가 인터네트에 남아 있는 시간에 대하여 유일해야 한다. 

Flags(3bit): 매 시점에서 오직 두 비트만이 정의된다. 파케트가 조각화되였을 때 
More 비트는 이것이 원래의 파케트에서 마지막조각인가 아닌가를 나타낸다. Don ’ t 
Fragment bit 가 설정 되 면 조각화를 금지한다. 목적 지 가 그 조각들을 재 조합할 능력 을 
가지고 있지 못하다는것이 알려 지는 경우 쓸모 있다. 그러나 이 비트가 설정되였을 
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판본 I 전송량클라스 I 흐름표식 —— 

통신부하길 이 | 다 1- 머 리부 | 도^ 


원천지 주소 


목적지 주소 


때 그 파케트가 부분망경로의 최대크기를 초과하면 그것을 버 린다. 따라서 그 비트가 
설정 되 면 최 대 파케 트크기 가 작은 부분망들을 피 하기 위 해 원천경 로조종방법 을 리 용할 
수 있다. 

Bit： 0 4 8 16 19 31 




판본 1 IHL 1 봉사의 형 

총길이 


U | 


식별 

기발| 조각편위 




생명기한 | 규약 

머리부검열합 


은 


원천지 주소 

，， 


목적지 주소 



선택 +메 꾸기 



-1 ) Ipv 4 머 리 부 
_12 16 


L ) Ipv 6 머 리 부 
그림 13-14. IP 머리부들 


• Fragment Offset(13bit) : 원래 파케트에서 이 조각이 속하는 위치를 64- bit 단 
위 로 측정하여 지적한다. 이것은 마지막조각이 아닌 조각들은 길이가 64 bit 의 
배수인 자료마당을 포함해 야 한다는것을 암시 한다. 

• Time to Live(8bit) : 파케트가 인터 네 트에 얼마나 오래 남아 있게 되는가를 초 
의 시 간단위로 지적 한다. 파케트를 처 리 하는 모든 경로조종기들은 TTL 을 최소 
1 까지 감소시켜야 하며 따라서 TTL 은 도약계수와 어느 정도 류사하다. 

• Protocol(8bit) : 목적지 에서 자료마당을 받을 다음 웃준위규약을 지정 한다. 따 
라서 이 마당은 IP 머 리부단과 그 파케트의 다음머 리부의 형을 식별한다. 

• Header Checksum(16bit) : 머 리 부에 만 적용되는 오유람색 코드 

• 일부 머리부마당들이 전송중에 변할수 있으므로 이것은 매 경로조종기에서 재 
검증 및 재 계산된다. 검사합마당은 머 리부의 모든 16 bit 단어들의 합이다. 계산 
을 위해 검사합마당은 그자체 가 령값으로 초기화된다. 


\\\\\\V 


비 一征命 0寸 
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• source Address (32 bit ) : 망과 지정된 망에 붙은 말단체계를 서술하기 위해 비 
트들의 가변배정을 할수 있도록 부호화된것. 

• Destination Address (32 bit ) : 발송시 주소와 같은 특성 을 가진 다. 

• Options (가변): 송신하는 사용자가 요구하는 선택들을 부호화한다. 이것들도 
보안표식,원천경로조종，레코드경로조종 및 시간표식을 포함할수 있다. 

• Padding (가변): 그 파케트머리부의 길이가 32 bit 의 배수가 되도록 하는데 
리용된 다. 


IPv6 

1995 년 에 IETF (Internet Engineering Task Force) 는 IPng 로 알 려 진 다음 세 대 
의 IP 에 대 한 명세서 로 발행된 인터네 트용의 규약표준을 개 발하였 다. 이 명세서 
(Specification) 는 1996 년 에 IPv6 으로 알려 진 표준으로 되 였 다. IPv6 은 현대 의 
IP(IPv4 로 알려 진것)보다 많은 기능적향상들을 가져 왔으며 더욱 현실로 되고 있는 화 
상과 비 데오를 포함하여 자료흐름의 혼합과 오늘날의 망들을의 더 고속화하도록 설계되 
였 다. 그러 나 새 로운 규약의 개 발을 뒤받침 해 준 추동력 이 바로 보다 많은 주소들에 대 
한 요구였다. IPv4 는 발송지와 목적지를 서술하는데 32-bit 주소를 리용한다. 인터네트와 
인 터네 트에 접 수한 전송망들의 폭발적 인 증대 로 하여 이 주소길 이 는 주소들을 요구하는 
모든 체계들의 편리를 도모하는데 불충분하게 되였다. 그림 13-14 에서와 같이 IPv6 은 
128-bit 원천지와 목적지주소마당들을 가진다. 

종국적으로 ICP/IP 를 리용하는 모든 설정들은 현대의 IP 를 IPv6 으로 고칠것을 예견 
하고 있 는데 이 것 은수십 년 까지 는 않되 지 만 몇 년 잘 걸 릴 것 이 다. 

IPv6 머 리 부 

IPv6 머리부는 40octet 의 고정된 길이를 가진다. 그것은 다음의 마당들로 이루어 진 
다(그림 13-14 의 b). 

• Version (4bits) : 인 터 네 트규약판본번 호 : 값은 6 이 다. 

• Traffic Class(8bits) : IPv6 파케 트들의 서 로 다른 클라스들이 나 우선권 등을 
확인하고 식별하기 위하여 마디들을 생성하거나 경로기들에 전송함으로써 리용 
할수 있다. 이 마당에 대한 리용은 아직 연구중에 있다. 

• Flow Label(20bits) : 망내 에서 경 로조종기 들에 의 한 특수한 조종을 요구하는 
파케 트들을 표시 하기 위하여 가입 자가 리용할수 있다.흐름표식화 (Flow 
labeling) 에 의해 원천지예약과 실시간 전송처리가 방조될수 있다. 

• Payload Length(16bits) : 머 리 부에 이 은 IPv6 파케 트의 나머 지 부분의 길 이 (옥 
레드단위로). 다시말하여 이것은 모든 확장머리부들과 전송준위 PDU 의 전체 
길이 이 다. 

• Next Header(8bits) : IPv6 머리부에 련이은 머리부의 형을 식별한다. 이것은 
IPv6 확장머 리 부이 거 나 TCP 또는 UDP 와 같은 상위 층머 리 부이 다. 

• Hop Limit(8bits )： 이 파케트에 대 해 허 락되는 도약들의 나머지수. 도약제 한 
은 원천지에서 요구하는 최대값으로 설정되며 그 파케트를 전송하는 매개 마디 
에 의해 하나씩 감소된다. 도약제한이 령으로 되면 그 파케트는 철회된다. 

• Source Address (128bits) ： 그 파케 트작성 자의 주소 
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• Destination Address (128 bits )： 파케트수신자의 주소. 이것은 사실 경로조종 
확장머 리부가 존재 하면 최종목적지로 될수 없다. 


IPv6 머리부가 IPv4 의 mandatory portion 이 보다 길지만 (40octet 대 20octet) 거기 
에 포함되는 마당의 수는 오히려 적다 (8 대 12). 따라서 경로조종기들도 머리부당 처리량 
이 적어 지는데 이로써 경로조종속도가 높아 진다. 

IPv6 확장머리부 

IPv6 파케트는 IPv6 머 리부와 령 또는 그 이상의 확장머 리부들을 포함한다. 

IPSec 의 밖에서 다음의 확장머리부들이 정의되고 있다. 

Hop-by-Hop Options header ： hop-by-hop 처 리를 요구하는 특수선택들을 정의 한다. 
Ronting header ： IPv4 원천경로조종과 마찬가지로 확장된 경로조종을 제공한다. 
Fragment header ： 조각화와 재조합정보를 포함한다. 

Authentication header: 파케트안전성과 인증을 제공한다. 

Encapsulating Security Payload header: 개인성을 제공한다. 

Destination Options header: 목적지마디가 검사하는 선택정보를 포함한다. 

IPv6 표준에서는 여러개의 확장머리부들이 리용될 때 IPv6 머리부들이 다음의 순서로 
나타난다. 

1. IPv6 머리부: 항상 제일 먼저 나타나야 한다. 

2. Hop-by Hop 선택머 리부 

3. 목적 지 선택 머 리부: IPv6 목적 지주소마당에 나 타나는 첫 목적 지 와 경 로조종머 리 
부에서 명기된 부분렬 목적지들에 의해 처리된다. 

4. 경로조종머리부 

5. 조각머리부 

6. 인증머리부 

7. 교갑화보 안통신부하머 리 부 

8. 목적 지 선 택 머 리 부 : 파케 트의 마지 막목적 지 에 의 해 서 만 처 리 되 는 선 택 들에 
한함 

그림 13-15 에 매개 비보안머리부의 구체례를 포함하는 IPv6 파케트의 실례를 보여 주 
었다. IPv6 머 리부는 매개 확장머 리부가 머 리부마당을 포함한다는것을 주의해 둔 다. 

이 마당은 련이은 머리부의 형을 식별한다. 만일 다음 머리부가 확장머리부이면 이 
마당은 그 머 리 부의 형 식별 자를 포함한다. 그렇 지 않으면 이 마당은 IPv4 규약마당과 
같은 값에 의하여 IPv6 을 리 용하는 상위 층규약의 규약식 별 자를 포함한다. 

그림 13-15 에 서 의 상위 층규약도 TCP 이 며 따라서 IPv6 파케 트에 의해 전송된 상위 층 
자료는 응용자료블로크에 잇닿은 TCP 머리부로 구성된다. 

도약별 선택 머 리 부는 만일 존재하면 경 로에 따라서 모든 경 로조종기 들에 의해 검 사 
하여야 할 선택정보를 나른다. 그 머리부에는 다음의 마당들이 포함된다. 

• Next Header(8bit) : 이 머 리 부가 잇 닿은 머 리 부형 을 식 별 한다. 

• Header Extension Length(8bit) : 첫 64bit 를 포함하지 않는 64-bit 단위 로 표 
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시된 이 머리부의 길이 

• Options ： 하나 또는 그 이상의 선택들을 포함한다. 매 선택은 세개의 부분마 
당 즉 선택형을 지적하는 tag, 길이 및 값으로 이루어 진다. 

지금까지 한개의 선택 2 16 — l = 65535octet 보다 더 긴 통신부하들을 가진 IPv6 파케트 
들을 보내는데 리용되는 Jumbo 통신부하만이 정의되였다. 이 선택의 Option Data 마당 
은 32bit 이며 그 파케트의 길이를 IPv6 머리부를 제외하고 옥레드단위로 준다. 

이 러 한 파케 트들에 대 하여 IPv6 머 리 부의 Payload Lengtti 마당은 령 으로 설 정 되 여 
야 하며 거기에는 Fragment 머리부가 없다. 이 선택에 의해 IPv6 의 4 백만개 옥레드이상 
까지의 파케트크기를 지원한다. 이것은 큰 비데오파케트들의 전송을 쉽게 해주며 따라서 
IPv6 이 임의의 전송매체를 매우 잘 리용할수 있게 해준다. 

Routing header 는 파케트의 목적지로 가는 도중에 들리게 되는 하나 또는 그이상 
의 중간마디들의 목록을 포함한다. 모든 경로조종머 리부들은 주어 진 경 로조종형 에 고유 
한 자료를 경 로조종하여 잇 닿은 4 개의 8-bit 마당들로 구성되는 32-bit 블로크로 시 작한다. 
4 개 의 8-bit 마당들로는 Next Header, Header Extension Length 그외 다음과 같은 2 
개의 마당이 있다. 

• Routing Type ： 특정 한 Routing 머 리 부를 식 별 한다. 만일 경 로조종기 가 
Routing Type 값을 인식 하지 못하면 그 파케 트를 칠회할수 있 다. 

• Segments Left ： 마지막목적지에 도달하기전에 들리게 되는 중간마디들의 수 


도약별 

선려머리부 _ 


목적지선택머리부 


송용자료 


40 

가변 

가변 

8 

가변 

20(선택 적 가변부분) 
가변 

다음머리부 령역 
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그림 13-15. 확장머 리부들을 가지는 IPv 6 파케 트 




이 일반 머리부정의외에 IPv6 명세서는 Type 0 Routing 머리부를 정의한다. 
Type 0 Routing 머 리 부를 리 용할 때 원 천마디 는 IPv6 머 리 부에 마지 막목적 지 의 주소 
를 주지 않는다. 대신 그 주소는 Routing 머리부에 표기되는 마지막주소이며 IPv6 머리 
부는 경로에서 처음 요구한 경로조종기의 목적지주소를 포함한다. Routing 머리부는 
그 파케트가 IPv6 머리부에서 확인된 마디에 도달할 때까지 검사하지 않는다. 그 시험 
에 서 IPv6 과 Routing 머 리 부내 용들은 갱 신되 며 그 파케 트로 전송된다. 갱 신은 IPv6 머 
리 부에 들리 게 될 다음주소를 두고 Routing 머 리 부에 Segment Left 마당을 감소시키 
는것으로 이루어 진다. 

IPv6 은 송신자에 게 파케 트를 돌려 주기 위하여 Routing 머 리 부를 포함하여 반대 의 
경로들에 대 한 IPv6 마디를 요구한다. 

Fragment header 는 조각화가 요구될 때 원천지에서 리용한다. IPv6 에서 조각화는 
원천마디 들에 의 해서 만 진행 되 며 파케 트의 배 달경 로에 따르는 경 로조종기 들에 의 해서 는 
진행되지 않는다. 호상련결망환경을 충분히 리용하기 위하여 마디는 경로우의 임의의 부 
분망에 의 해 지 원되는 제 일 작은 최 대전송단위 (MTU) 를 알수 있게 하는 경 로발견알고리 
듬을 실행하여 야 한다. 다시말하여 경 로발견알고리 듬은 마디 가 경 로우의 《 병모가지》부 
분망의 MTU 를 알수 있게 한다. 이 지식에 기초하여 원천마디는 매개 주어 진 목적지주 
소에 대하여 요구되는대로 조각화한다. 다시 말하여 원천은 모든 파케트들을 매개 부분 
망에 의해 지원되는 최소 MTU 인 1280octet 들로 제한한다. 

Next Header 마당외 에 조각머 리부는 다음의 마당들을 포함한다. 

• Fragment Offset (13 bits ) ： 원래 의 파케 트에서 이 조각의 통신부하조각의 속한 
곳을 지정 한다.그것은 64bit 단위로 측정된다. 이것은 쪼각(마지막조각이 아닌) 
등이 길이가 64bit 의 배수인 자료마당을 포함하여야 한다는것을 의미한다. 

• Res (2 bits )： 앞으로의 리용을 위 하여 예 약 

• MFlag ( lbit ): 1 = 이상의 조각들; 0=마지막조각 

• Identification (32 bits ) : 원래의 파케 트를 유일적 으로 식 별하기 위 해 요구한다. 
식별자는 그 파케트가 인터네트에 남아 있는동안 파케트의 원천지주소와 목적 
지주소에 대하여 유일해야 한다. 같은 식별자，원천지주소，목적지주소를 가지 
는 모든 조각들도 재포함되여 원래의 파케트를 형성한다. 

Destination Options header 는 만일 존재하면 그 파케트의 목적지마디에 의해서만 
조사되는 선택정보를 나른다. 이 머리부의 형식은 도약별 선택머리부와 갈다. 
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제 14 장. Web 보안 


모든 기업들，대부분 정부기관들과 많은 사람들이 자기의 Web 싸이트들을 가지고 
있 다. 인터 네 트에 접 속하는 사람들과 회 사들의 수는 급속히 늘어 나고 있으며 이 들모두는 
화상 Web 열람기를 가지고 있다. 기업들은 전자상거래를 위하여 Web 우에 수단들을 설치 
하는데 열을 올리고 있다. 그러나 현실적으로 인터네트와 Web 는 여러가지 공격에 대하 
여 매우 취 약하다. 이 러한 현실에 대처하여 폭 넓 으며 안전한 Web 봉사를 요구하는 목 
소리가 높아 지고 있다. Web 보안문제의 범위는 대단히 넓으며 한권의 책에서 다 취급할 
수는 없다(이 장의 마지막에 그에 대한 일부 참고문헌들을 소개한다). 

이 장에서는 Web 보안을 위한 일반적 인 요구들을 론의하고 다음 Web 상업분야에서 
점차 중요시되는 표준적 인 방식들인 SSL/TLLS 와 SET 에 중점을 둔다. 


14.1 Web 보안의 필요성 

WWW (World Wide Web) 는 기 본적 으 로 인 터 네 트와 TCP/IP 인 터 네 트상 에 서 동 작 
하는 의뢰기/봉사기형의 응용이다. 그런것만큼 지금까지 이 책에서 서술한 보안도구들과 
수법 들은 Web 보안문제 와 관련된 다. 그러 나 문헌 [GARF9 기 에 서 지 적 된것 처 럼 Web 는 
콤퓨터 및 망보안에 관하여 일반적으로 제기되지 않았던 새로운 문제들을 제기한다. 즉 

• 인터 네 트는 쌍방향이 다. 전통적 인 출판환경 들과는 달리 텔 레 텍 스트 (teletext), 
음성 응답 (voice response) 또는 팍스백크 (fax-back) 를 포함하는 전자출판체계 조 
차 인터 네트상에서의 Web 봉사기 들에 대 한 공격 에 대 하여 약하다. 

• Web 는 회사의 판로와 생산정보，업무처 리를 위한 가동환경으로 되고 있다. 

• Web 봉사기들이 파괴되면 평판이 나빠 질수 있으며 재정적으로 손해를 볼수 있다. 

• Web 열람기들이 매우 사용하기 쉽고 Web 봉사기들의 구성과 관리 가 비교적 쉬우 
며 Web 내용이 점점 개발하기 쉬워 진다고 할지 라도 그것 이 기초하고 있는 쏘프 
트웨어 는 매 우 복잡하다. 이 복잡한 쏘프트웨어 는 많은 보안상 결 함들을 가지 고 
있을수 있다. Web 의 짧은 력사에는 새롭고 갱신된 체계들이 여 러가지 공격에 피 
해를 입은 실례들이 많다. 

• Web 봉사기는 주식회사나 정부의 콤퓨터체계에서 필수구성부분으로 되고 있다. 
Web 봉사기의 보안이 파괴되면 공격자는 Web 그자체의 부분이 아니 라 국부싸이 
트의 봉사기에 접속된 자료나 체계에 대한 접근을 엄을수 있다. 

• Web 봉사를 리용하는 사람들은 보안에 대하여 특별한 지식을 가지고 있지 않는 
일반사람들이다. 이러한 사용자들은 현존하는 보안위험을 충분히 알고 있지 못하 
며 효과적 인 대 책들을 취 할수 있는 도구들이나 지식을 가지 고 있지 못하다. 

Web 보안위협 

표 14-1 에 Web 를 리 용하는데서 제 기되 는 보안위 협들의 형 태들에 대 하여 제 시하였 
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다. 이 위협들을 분류하는 한가지 방법은 능동과 수동공격 으로 가르는 
은 열람기들과 봉사기들사이의 망전송에 대한 도청과 Web 싸이트상의 
을 포함한다. 능동공격에는 봉사기와 의뢰기사이의 전송에서 통보문 
Web 싸이트에서의 정보를 변경 하는것 그리고 다른 사용자로 가장하는? 

Web 보안위협을 분류하는 또 다른 방법은 위협의 위치 즉 Web 봉 
그리고 열람기와 봉사기사이의 망전송에 관한것 이 다. 봉사기와 열람기」 
체계보호의 범위에 속한다. 이 책의 4편에서는 일반콤퓨터체계의 보호 
계 보호에 적절한 문제 들을 취 급한다. 전송보안문제 들은 망보안범 위 에 
서 취급한다. 

Web 전송보안수법 

Web 보안을 제공하는 많은 수법들이 있다. 이미 고찰하였던 여러 
것들이 제공하는 봉사，그것들이 리용하는 방식에서 어느 정도 비슷하 
용범 위 와 TCP / IP 규약모임 (protocol stack ) 안에 서 의 상대 적 인 위 치 에 니 

그림 14-1 은 그 차이를 보여 준다. Web 보안을 제공하는 한가지 방 
14-1 의 1) 을 사용하는것 이 다. IPSec 를 리용하면 그것 이 말단사용자와 
투명 하고 일반목적의 해결책 을 제공하는 유리한 점 이 있다. 더우기 II 
송만이 IPSec 처리의 간접비용을 발생하도록 려과하는 능력을 가지고 유 


표 14-1. _ Web 에서 위협들의 비교 [RUB197] 



위협 

결과 

대책 

완정성 

• 사용자자료의 변경 

• 트로이목마열람기 

• 전송중의 통보문변경 

• 기억기의 변경 

• 정 보의 루실 

• 기계의 손상 

• 다른 모든 위협들 
에 대한 취약성 

암호검 사합 

기밀성 

• 망우에서의 도청 

• 봉사기로부터 정보의 절취 

• 망설정에 대한 정보 

• 의뢰기가 봉사기에 보내는 
정보 

• 정 보의 루실 

• 개인성의 루실 

암호, Web 대행체들 

봉사기의 
거부 

• 사 용 자 스 레 드 ( Thread ) 들 
을 절단한다 

• 기계에 필요 없는 정보들이 
범람하게 한다 

• 디 스크나 기 억 기 를 넘 치 게 
한다 

• DNS 의 공격 에 의한 기계의 
격리 

• 피•:피 적 o | 다 • 

• 사용자를 괴롭힌다 

• 사용자가 작업을 
진 행 하 지 못 하 게 
한다 

예방이 어렵다 


• 정 당한 사용자로의 가장 


• 부정사용자의 허가 




또 다른 일반적인 해결책은 TCP 의 바로 웃층에서 보안을 실현하는것이다(그림 
14-1 의 니. 이 수법의 가장 일반적인 실례는 SSL (Secure Sockets Layer) 와 TLS 
(Transport Layer Security) 로 알려 진 SSL 의 인터 네 트표준이 다. 이 준위 에서 둘중 한 
가지 실현방법을 택 함수 있다. 일반적 으로 SSL (또는 TLS) 은 기초규약모임의 한 부분으 
로 제 공될수 있으며 결과 응용들에 대 하여 투명해 진다. 또한 SSL 은 개 별적파케 트들에 
매몰시킬수 있다. 실례로 네트스케이프 (Netscape) 와 Microsoft Explorer 열람기를은 
SSL 을 장비 하고 있으며 대 다수 Web 봉사기들도 마찬가지 이 다. 

응용고유의 보안은 특정한 응용프로그람내에서만 봉사한다. 그림 14-1 의 도에 이 방 
식의 실례들을 보여 주었다. 



HTTP | FTP | SMTP 

HTTP | FTP | SMTP 


SSL or TLS 

TCP 


TCP 

IP/IPSec 


ip 



S/MIME | PGP 

S 肝 

Kerberos 

SMTP 

HTTP 

UDP 

TCP 

IP 


-t) 망준위 


그림 


전송준위 


[) 응舍준위 


14-1. TCP/IP 규약보안수단들의 상대적 인 위치 


이 수법의 우월성은 봉사가 주어 진 응용의 특정 한 요구들에 알맞게 제공된다는것 이 다. 
Web 보안에서 이 수법의 전형적인 실례는 SET (Secure Electronic Transac 仕 on) 이다. 

이 장의 나머 지 부분에 서 는 SSL/TLS 와 SET 에 대 하여 론의 한다 


14.2 안전소케트층과 전송층보안 

SSL 은 Netscape 로부터 유래되였다. SSL 의 판본 3 은 일반관점에서 설계되여 인터네 
트초안문서 로 공개 되 였 다. 후에 이 규약을 인터네 트규격 으로 할데 대 한 합의 가 이 루어 
졌 으며 IETF 내 에 일 반표준을 개 발하기 위한 TLS 연구그롭이 조직 되 였 다. TLS 에 대 한 
현재의 연구는 인터네트표준으로서의 판본을 구축하는데로 지향되고 있다. TLS 의 첫 판 
본은 본질 상 SSLv3.1 로 볼수 있 으며 SSLv3 과 호환성 을 가진 다. 이 절 은 대 부분 
SSLv3 에 대 하여 취급한다. 절의 마지막부분에서는 SSLv3 과 TLS 사이의 기본 차이점들 
을 서술한다. 

SSL 방식 

SSL 은 TCP 를 리용하여 안전한 말단 대 말단봉사를 제공하도록 설계되였다. 

SSL 은 단일규약이 아니라 그림 14-2 에서 보여 준것처럼 2 층규약이다. 

SSL 레코드규약은 여러가지 보다 웃층의 규약들에 기초적인 보안봉사들을 제공한다. 특히 
Web 의 의뢰기/봉사기대화를 위한 전송봉사를 제공하는 HTTP 는 SSL 상에서 동작할수 있다. 
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보다 웃층의 세개의 규약들 즉 핸드쉐 이크 ( Handshake ) 규약，암호명세서 변경 (Change 
Cipher Spec ) 규약과 경고 ( Alert ) 규약이 SSL 의 부분으로 정의된다. 이 러한 SSL 고유의 규약들 
은 SSL 교환 ( exchange ) 들을 관리하는데 리용되며 이 절의 뒤부분에서 설명된다. 





~1 

SSL 

SSL 

변경 암호 

SSL 

경고규약 

HTTP 


규약 

명세 규약 



SSL 레코드규약 


TCP 


IP 



그림 14-2. S.SL 규약모임 


두가지 중요한 SSL 개념들은 SSL 대화와 SSL 접속인데 그것들은 명세서에서 다음과 
같이 정의된다. 

• 접 속 : 접 속이 란 적 당한 형 태 의 봉사를 제 공하는 (OSI 참조모형 정 의 에 서 ) 전송이 다. 
SSL 에 대하여 이러한 접속들은 단과 단사이 (peer to peer ) 관계들이다. SSL 에 대 
하여 이러한 접속들은 일시적이다. 매개 접속들은 하나의 대화에만 관련된다. 

• 대화 : SSL 대화란 의뢰기와 봉사기사이의 관련 ( association ) 이다. 대화들은 핸드쉐 
이크규약에 의하여 창조된다. 대화들은 한 조의 암호보안파라메터들을 정의하는데 
그것들을 여러개의 접속들에서 공유할수 있다. 매개 접속들을 위한 새로운 보안파 
라메 터들을 류통하는데 드는 비용을 줄이기 위하여 대화를 리용한다. 

임의의 대방들(의뢰기와 봉사기우에서 HTTP 와 같은 응용들)사이에 여러가지 안전 
한 접속들이 있을수 있다. 리론적으로는 대방들사이에 여러가지 동시적인 대화들이 있을 
수 있으나 현실적으로 이러한 대화형태는 리용되지 않는다. 

실제로 매 대화와 련관된 여러가지 상태들이 있다. 일단 대화가 확립되면 읽기와 쓰 
기 (즉 받기와 보내기)들이 모두 가능한 상태로 된다. 또한 핸드 쉐 이크규약기간에 미정의 
읽기와 쓰기상태들이 창조된다. 핸드쉐이크규약의 성공적인 결과에 의해 미정의 상태들 
이 이 동상태 들로 된 다. 대 화상태 는 다음의 파라메 터 (SSL 서 술로부터 정 의 )들에 의 하여 
정의된다. 

• 대 화식별 자 : 능동 또는 회 복할수 있는 대 화상태 를 판별 하기 위하여 봉사기 가 선 
택하는 임의의 바이 트렬이 다. 

• 단중명서 : 단 ( peer ) 의 X 509. v 3 증명서 이 다. 이 요소의 상태는 무효로 될수 있다. 

• 압축방법 : 암호화에 앞서 자료를 압축하는데 리용되는 알고리듬 

• 암호명세서 : 모든 자료암호알고리듬(무효， DES 등과 갈은)을 렬거 하고 MAC 계산 
에 리 용되 는 하쉬알고리 듬 ( MD 5 혹은 SHA -1 과 갈은것 )을 서 술한다. 
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• 주비 밀 열 쇠 : 의 뢰 기 와 봉사기 사이 에 공유된 48byte 의 비 밀 열 쇠 

• 계 속가능기 발 : 그 대 화를 새 로운 접 속들을 만드는데 리용할수 있 는가 없 는가를 
가리키는 기 발 

접속상태는 다음의 파라메터들에 의하여 정의된다. 

• 봉사기와 의뢰기의 우연수 : 매 접속을 위하여 봉사기와 의뢰기 가 선택하는 바 
이 트렬 

• 봉사기쓰기 MAC 비밀열쇠 (Server write MAC Secret) : 봉사기 가 보낸 자료에 대 

한 MAC 조작에 리용되는 비밀열쇠 

• 의 뢰 기 쓰기 MAC 비 밀 열쇠 (Client write MAC secret) : 의 뢰 기 가 보내 온 자료에 대 

한 MAC 조작에 리용되는 비밀열쇠 

• 봉사기쓰기열쇠 (Server Write Key): 봉사기에 의 해 암호화되고 의뢰기에 의해 
복호되는 자료에 대 한 전통암호열쇠 

• 의 뢰 기 쓰기 열쇠 (Client Write Key) : 의 뢰 기 가 암호화하고 봉사기 가 복호하는 자 
료에 대 한 전통암호열쇠 

• 초기화벡토르 (IV): CBC 방식에서 블로크암호가 사용되면 벡토르초기화는 매 열쇠 
에 대하여 유지된다. 이 마당은 SSL 의 핸드쉐 이크규약에 의하여 처음에 초기화 
된다. 그로부터 매 레코드의 마지막암호본문블로크는 다음의 레코드의 초기화벡 
토르 IV 로서 의 리 용을 위하여 보호된다. 

• 렬번호 (Sequence number) : 매 대 방은 매 접속에 대 한 통보문을 보내 고 접속하 
기 위한 개별적렬번호들을 보관한다. 대방이 암호변경통보문을 보내거나 받을 때 
해당한 렬번호는 0으로 설정된다. 렬번호들은 2 64 -1을 넘지 않는다. 

SSL 레쿄드규약 

SSL 레 코드규약은 SSL 접 속을 위하여 두가지 봉사를 제 공한다. 

• 기 밀성 : 핸드쉐 이 크규약은 SSL 통신부하의 전통암호에 리 용되 는 공유된 비 밀 열쇠 
를 정 의한다. 

• 통보문완정성 : 핸드쉐이크규약은 통보문인증코드 (MAC) 를 구성하는데 쓰이는 공 
유된 비 밀 열쇠 를 정 의한다. 

그림 14-3 에 SSL 레코드 규약의 전반적 인 조작과정을 보여 주었다. 레코드 통신규약은 
전송되는 응용통보문을 다를수 있는 블로크들로 쏘개고 선택적으로 자료를 압축하며 
MAC 를 적용하여 암호화한 다음 머리부를 더하고 그 결과단위를 TCP 토막으로 전송한 
다. 수신된 자료는 먼저 복호되고 다음 검증되며 압축을 풀고 재조합한 다음 웃준위사용 
자에게 배달된다. 

첫 단계 는 조각화이다. 매 웃층의 통보문은 2 14 byte(16384byte) 혹은 그이하의 블 
로크로 분할된다. 다음 압축이 선택적으로 적용된다. 압축과정은 루실이 없어야 하며 내 
용의 길이가 1024byte 이상 증가하지 말아야 한다. SSLv3(TLS 의 현재의 판본과 마찬가 
지로)에서는 그 어떤 압축알고리듬도 서술되여 있지 않기때문에 기정의 압축알고리듬은 
무효이다. 
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응용자료 


조각화 

압축 

MAC 첨 부 

^^호화 


部화 



그림 14-3. SSL 레코드규약조작 


처리에서 다음단계는 압축한 자료에 대하여 통보문인중코드 ( MAC ) 를 계산하는것이 
다. 이 를 위해서 공유된 비밀열쇠 를 리 용한다. 계산은 다음과 같이 정의된다. 

hash(MAC_write_secret || pad_2|| 

hash(MAC_write_secret || pad_l |[ seq_num||SSLC Compressed, type || 
SSLCompressed. length || SSLCompressed. fragment)) 


여기서 


MAC_write_secret 

Hash 

pad_l 

pad_2 

seq_num 

SSLCompressed. type 
SSLCompressed. length 
SSLCompressed. fragment 


= 련결 

= 공유된 비밀열쇠 

= 암호학적하쉬알고리 듬 ; MD5 혹은 SHA-1 
= 바이트 0x36(0011 0110) 는 MD5 에 대하여 48 번， 
(384 的松 SHA-1 에 대 해서 는 40 번 (320bit) 반복 
= 바이트 0x5C(0101 100) 은 MD5 에 대하여 48 번， 
SHA-1 에 대하여 40 번 반복 
= 이 통보문들에 대한 렬번호 
= 이 통보문을 처 리하는데 리 용되 는 웃준위 규약 
= 압축된 부분의 길이 

= 압축된 조각(압축이 리용되지 않는다면 평문부분) 


이것은 9 장에서 정의한 HMAC 알고리 듬과 매 우 류사하다. 차이점은 두개의 메꾸 
기들이 SSLv3 에서 는 련결되 고 HMAC 에서는 XOR 된다는것 이 다. SSLv3 MAC 알고리듬 
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은 련쇄 (련결)를 리용한 HMAC 를 위한 초기의 호상련결망초안에 기초하고 있다. RFC 
에 서 정 의된 HMAC 의 마지 막판본은 XOR 를 리용한다. 다음 압축된 통보문과 MAC 는 
대칭암호를 리용하여 암호화되며 따라서 암호문은 총 길이가 2 14 +2048을 넘지 않도록 
그 내용의 길이가 1024byte 이상 증가하지 말아야 하며 결과 다음의 암호알고리듬이 
허 락된 다. 


볼로크암호 

흐름암호 

알고리듬 열쇠크기 

알고리듬 열쇠크기 


IDEA 

128 

RC4-40 

40 

RC2-40 

40 

RC4-128 

128 

DES-40 

40 



DES 

56 



3DES 

168 



Fortezza 

80 




Fortezza 는 맵시 있는 카드암호구성 에 리용된다. 흐름암호로 서술된 압축통보문에 
MAC 를 덧붙여 암호화된다. MAC 는 압축이 진행되기전에 계산되며 평문 또는 압축된 
평문과 함께 암호화된다. 

블로크암호화에서 메꾸기는 암호화하기전에 MAC 다음에 부가된다. 메꾸기는 그 길이 
의 lbyte 표식 이 붙는 많은 메꾸기바이트들의 형식으로 있다. 메꾸기의 총량은 암호화할 
자료의 총 크기 (평;每片 MAC +메꾸기 )가 암호문블로크길 이의 배 수인 가장 작은 량이 다. 
실례는 SHA-1 을 리용한 20byte 의 MAC 를 가진 58byte 의 평문(또는 압축을 리용하면 압 
축한 본문)이며 그것은 8byte 의 블로크길이를 리용하는 암호로 암호화된다(실례로 DES). 

메 꾸기 길 이를 포함하여 이것은 79byte 를 차지한다. 전체 를 8의 옹근배수로 하기 위 
하여 한 바이트의 메꾸기를 첨가한다. 

SSL 레 코드규약처 리 의 마지 막단계 는 다음의 마당들로 이 루어 지 는 머 리 부를 준비하 
는것 이 다. 

• 내 용형 (8bit): 포함된 조각을 처 리 하는데 리 용되 는 웃층의 규약 

• 기본판본 (8bit): 사용에서 SSL 의 기본판본을 표시 한다. SSLv3 에 대 한 값은 3이 다. 

• 낮은 판본 (8bit): 사용에서 더 낮은 판본 (minor) 을 표시. SSLv3 에 대하여 그 값 
은 0이다. 

• 압축한 길 이 (16bit): 평 문조각의 바이 트길 이 (혹은 압축이 리 용되 면 압축한 조각) 
의 최대값은 2 14 +2048이다. 

정의된 내용형들은 change_cipher_spec , alert,handshake,application_data 이 다 . 
처음의 세개는 다음번에 론의하게 될 SSL 고유의 규약이다. SSL 을 리용할수 있는 여러 
가지 응용들사이에는 아무런 차이도 없으며 이러한 응용들에 의해 창조된 자료의 내용은 
SSL 에 대 하여 불투명 하다. 

그림 14-4 에 SSL 레코드형식화를 보여 주었다. 
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그림 14-4. SSL 레코드형식화 


암호명세서변경규약 

암호명 세 서 변경 (Cipher Spec Change ) 규약은 SSL 레 코드규약을 리 용하는 3개 의 
SSL 고유의 규약들중에서 제일 간단한것이다. 이 규약은 하나의 통보문(그림 14-5 의 가) 
으로 되는데 그것은 값 1을 가지는 하나의 바이트로 이루어 진다. 이 통보문의 유일한 
목적은 미정의 상태를 현상태에로 복사시키는것인데 그과정에 이 접속에서 러용할수 있 
도록 암호묶음이 갱신된다. 

경고규약 

경고 ( Alert ) 규약은 SSL 관련의 경고들을 단의 실체에로 전송하는데 리용된다. SSL 
을 리용하는 다른 응용들과 마찬가지로 경고통보문은 현상태에 의해 렬거된대로 압축되 
고 암호화된다. 

이 규약의 매 통보문은 두 바이트로 이루어 진다(그림 14-5 의 L ) . 첫 바이트는 값 
warning (1) 또는 fatal (2) 를 가지고 통보문의 중요도를 전달한다. 준위가 만일 fatal 이 
라면 SSL 은 접속을 즉시에 끝 마친다. 같은 대화에서 다른 접속들은 계속될수 있어도 
이 대화에서 새로운 접속들은 설정할수 없다. 두번째 바이트는 특수경고를 표시하는 코 
드를 포함한다. 먼저 항상 중요한 (SSL 명세서에서 정의된것처럼) 경고들을 소개한다. 

• unexpected_message : 타당치 못한 통보문이 접수되 였다. 

• bad_record_message : 정확하지 않은 MAC 가 접수되였다. 

• decompression.failure ： 맞지 않는 입력을 접수하는 압축을 푸는 함수(즉 최 
대한 도의 허용 i 이보다 더 크게 압축을 풀거 나 압축할수 없다). 

• Handshake_failure : 송신자는 주어 진 선택 에서는 보안파라메터를 정 확히 설 
정할수 없다. 
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lbyte 

lbyte 3 byte >0 byte 

因 

형 길이 내용 

1) 암호명세서변경규약 

n ) 핸드쉐이크규약 

lbyte lbyte 

>lbyte 

준위 경시 

명확치 않은 내용 

L ) 경고규약 

ᄅ) 다른 웃층규약 ( HTTP ) 


그림 14-5. SSL 레코드규약통신부하 


• illegal_parameter ： 핸드쉐 이크통보문에 있는 마당이 범위 밖에 있거 나 혹은 다 
른 마당들과 호환되지 않는다. 

나머지경고들은 다음과 같다. 

• close_notify ： 이 접속에 대 하여 송신자는 더 이상 통보문을 보내지 않을것 이 라 
는것 을 수신자에 게 통보한다. 매 대 방들은 접 속의 쓰기측을 닫기전에 
close_notify 경고를 보내 야 한다. 

• no_certificate ： 정당한 증명서를 리용할수 없으면 증명서요구에 응답하는데 보 
내 i 수 있다. 

• bad_certificate : 접 수한 증명 서 가 불결 하다 (실 례 로 검 증되 지 않는 서 명 을 
포함). 

• unsupported_certificate : 접수된 증명서의 형이 지원되지 않는다. 

• certificate_revoked : 증명서가 그 서명자에 의하여 취소된다. 

• certificate_expired : 증명서의 기한이 끝났다. 

• certificate_unknown : 일 부 다른 특기 하지 않는 문제 가 증명 서 를 처 리 하는데 
서 발생하€다. 

핸드쉐이크규약 (HANDSHAKE Protocol ) 

SSL 의 제 일 복잡한 부분은 핸드쉐 이크규약 (HANDSHAKE Protocol ) 에 있다. 

이 규약은 의 뢰기와 봉사기를 서 로 인증하도록 하고 암호화， MAC 알고리듬. SSL 레 
코드에서 보낸 자료를 보호하기 위하여 리 용되 는 암호화열쇠들을 류통하도록 한다. 핸드 
쉐 이 크규약은 응용자료가 전송되 기전에 리 용된다. 

• 핸드쉐 이크규약은 의뢰기 와 봉사기 에 의하여 교환되는 련속적 인 통보문들로 구 
성된다. 이 것들은 모두 그림 14-5 의 도 에 보여 준 형식을 가진다. 매 통보문은 
세개의 마당을 가진다. 
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표 14-2. 

SSL 핸 드쉐 이 크규약통보문형 래 

통보문형 태 

파라메 터 

hello request : 

무효 

client_hello ： 

판본 , 우연수 , 대 화식별 자 , 암호묶음 , 압축방법 

server_hello ： 

X.509V3 증명서들의 련쇄 

server_key_exchange : 

파라메터，서 명 

certificate_request : 

형 , 인증자 

server_done 

무효 

certificate_verify 

서명 

client_key_exchange 

파라메터 , 서 명 

finished 

하쉬 값 


의뢰기 봉사기 



규약판본, 대화식별자, 암호묶음, 압축방 
법과 초기우연수를 포함하여 보안성능들을 
확립 한다. 


봉사기 는 증명서, 열쇠 교환, 요구중명 서 를 
보낼수 있다. 봉사기는 hello 통보문단계의 
마감을 통신한다. 


의뢰기는 요구하면 증명서를 보낸다. 의뢰 
기는 열쇠교환을 보낸다. 의뢰기는 증명서 
검중을 보낼수 있다. 


암호묶음을 변화시키 고 핸드쉐 이 크규약을 
끝낸다. 


주의 : 어두운 전송들은 늘 전송되지 않는 
선택적 혹은 환경의존통보문들이다. 


그림 14-6. 랜드쉐이크규약의 실행 
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• 형 ( lbyte ):10 개의 통보문들중의 하나를 표시한다. 표 14-2 는 정의된 통보문형 
들을 보여 준다. 

• 길 이 (3 byte ): 바이 트단위 의 통보문길 이 

• 내 용 ( Slbyte ): 파라메터 들은 이 통보문과 관련된다. 이 것 들은 표 14-2 에 보여 
주었다. 

그림 14-6 에 의뢰기와 봉사기사이의 론리적 인 접속을 설정하는데 필요한 초기교환 
을 보여 주었다. 교환은 4단계로 이루어 져 있다고 볼수 있다. 

단계 1. 보안기능들을 설정 

이 단계 는 론리 적 인 접 속을 시 작하여 그와 관련 한 보안기 능들을 설정하는데 리 용된 
다. 교환은 의뢰 기에 의 하여 시작되며 그것은 다음의 파라 메 터를 가진 
client _ hello _ message 를 보낸다. 

• 판본: 의뢰기에 있는 제일 높은 SSL 판본 

• 우연수 : 32 bit 의 시 간표시 와 안전한 우연수발생 기 에 의하여 발생 된 28 byte 로 구 
성되는 우연구조. 이 값들은 림시값들로서 열쇠교환시 재 연공격을 막기 위하여 
리 용된 다. 

• 대화 ID : 가변길 이대화식별자. 령 아닌 값은 의뢰기 가 이미 있는 접속의 파라메 
터 를 갱 신하거 나 이 대 화에 새 로운 접 속을 창조하려 한다는것 을 표시한다.령 값 
은 의뢰 기 가 새 로운 대 화에 새 로운 접속을 확립하려는것 을 표시 한다. 

• 암호묶음 : 이것은 의뢰기 에 의하여 유지되는 암호화알고리듬의 결합(우선권준위 
가 작아 지는 차례로)을 포함하고 있는 목록이다. 이 목록의 매 암호묶음♦香 
열 쇠 교환알고리 듬과 암호명 세 서 를 둘 다 정 의하며 이 것 들은 다음에 론의 된 다. 

• 압축방법 : 이것은 의뢰 기 에 의하여 지 원되는 압축방법들의 목록이 다. 

client_hello 통보문을 보낸 다음 의뢰기는 server_hello 통보문을 기다리는데 그것은 
client_hello 통보문과 같은 파라메터 를 포함한다. server_hello 통보문을 위하여 다음의 
협약들이 적용된다. 판본마당은 의뢰기에 의하여 제기되는 더 낮은 판본을 포함하고 봉 
사기 에 의 하여 제 기되는 제 일 높은 판본을 포함한다. Random 마당은 봉사기 에 의 하여 
생성 되 며 의뢰 기의 Random 마당과는 독립 이 다. 만일 의뢰기 의 Session ID 마당이 령 이 
아니 라면 봉사기 는 같은 값을 리 용한다. 그렇 지 않으면 봉사기 의 Session ID 마당은 새 로 
운 Session 에 대한 값을 포함한다. Cipher Suite 마당은 의뢰기에 의하여 정의된것들로부 
터 봉사기에 의하여 선택한 단 하나의 암호묶음을 포함한다. 압축마당은 의뢰기에 의하 
여 제의된것들에서 봉사기가 선택한 압축방법을 포함한다. 

암호묶음파라메터의 첫 요소는 열쇠교환방법을 가리킨다(다시 말하여 전통암호열쇠 
와 MAC 를 교환하는 방법). 다음의 열쇠교환방법들이 지원된다. 

• RSA ： 비밀 열쇠 는 수신자의 RSA 공개열쇠 로 암호화된다. 수신자의 열쇠 에 대 
한 공개열 쇠 증명 서 를 반드시 리 용하여 야 한다. 

• 고정디피-헬만: 이것은 봉사기의 증명국 ( CA ) 이 서명한 디피-헬만공개파라메터 
를 포함하는 디 피-헬만열쇠 교환이다. 즉 공개열쇠 증명서 는 디 피-헬만공개 열쇠 파 
라메터들을 포함한다. 의뢰기는 의뢰기검증이 요구되면 증명서 에，그렇지 않으 
면 열쇠 교환통보문에 그것 의 디 피 -헬 만공개 열 쇠 파라메 터 들을 제 공한다. 
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• 림시디피-헬만: 이 기술은 림시적인 ( Ephemeral ) 비밀열쇠들을 창조하는데 리 
용된다. 이 경우에 송신자의 비밀 RSA 또는 DSS 열쇠를 리용하여 서명한 디피_ 
헬만공개열쇠들을 교환한다. 수신자는 상응한 공개열쇠를 리용하여 서명을 검 
증할수 있다. 증명서들은 공개열쇠를 확증하는데 리 용된다. 이것은 림시적 인 
인증열쇠 를 생 성하므로 3개 의 디피 -헬만선택 들중에 서 제 일 안전할것 이 다. 

• 닉명의 디피-헬만: 기본디피-헬만알고리듬은 인증없이 리용된다. 즉 대방들은 
자기의 공개디피-헬만파라메터들을 상대 방에게 인증없이 보낸다. 이 방식은 쌍 
방과 닉명의 디피-헬만을 리 용하는 제3자의 공격 에 는 약한 결함이 있다. 

• 포테 자 (Fortezza) : 포테 자방식 에 대 하여 정의된 기술 

열쇠교환방법 에 대 한 정의 는 다음의 마당을 포함하는 암호명세서 이다. 

• 암호알고리듬: 이미 언급한 알고리듬들 RC 4, RC 2, DES , 3 DES , DES 40, IDEA , 
Fortezza 중의 어느 하나이 다. 

• MAC 알고리듬: MD 5 또는 SHA -1 

• 암호형 : 흐름 또는 블로크 

• 반출가능형 : 참 혹은 거 짓 

• 하쉬크기 : 0，16 byte ( MD 5 에 대 하여) 혹은 20 byte ( SHA _ l 에 대 하여) 

• 열 쇠자료: 쓰기열쇠 들을 생 생하는데 리 용되 는 자료를 포함하는 바이 트렬 

• IV 크기 : CBC 암호화에 서 초기 값의 크기 

단계 2. 봉사기인중과 열쇠교환 

봉사기는 인증이 요구되면 그것의 증명서를 보내는것으로 이 단계를 시작한다. 즉 
통보문은 하나의 X . 509증명서 혹은 그것들의 련쇄를 포함한다. 증명서통보문은 닉명의 
디피-헬만을 제외한 임의의 동의된 열쇠교환방법 에 요구된다. 만일 고정디피-헬만이 사 
용되 면 증명 서 통보문은 그것 이 봉사기 의 공개디피 -헬 만파라메터 를 포함하기 때 문에 봉사 
기 열 쇠교환통보문으로 리 용된 다. 

다음으로 server _ key _ exchange 통보문은 그것 이 요구될 때 전송된다. 그것은 다음 
의 두 경우에는 요구^!지 않는다. 

(1) 봉사기가 고정디피-헬만파라메 터들을 가진 증명서를 보내거나 

(2) RSA 열쇠교환이 사용되는 경우 
Server _ key _ exchange 통보문은 다음의 경우에 요구된다. 

• 닉명의 디피-헬만: 통보문내용은 두개의 디피-헬만대역값들(씨수와 그의 원시뿌 
리 ) 과 봉사기 의 공개 디 피 -헬 만열 쇠 를 포함한다(그림 6-16). 

• 림시디피-헬만: 통보문내용은 닉명의 디피-헬만에 대하여 제공되는 세개의 디피 
-헬 만파라메 터 들과 그 파라메 터 들에 대 한 서 명 을 포함한다. 

• RSA 열쇠교환-봉사기는 RSA 를 리용하지만 서명전용 RSA 열쇠를 가지지 않는 경 
우 : 따라서 의뢰기는 봉사기의 공개열쇠 로 암호화된 비밀열쇠를 간단히 보낼수 
없 다 . 대 신 봉 사 기 는 림 시 RSA 공 개 / 비 밀 열 쇠 쌍 을 창 조 하 고 
server _ key _ exchange 통보문을 리용하여 공개열쇠를 보내야 한다.통보문내용은 
림 시 RSA 공 7 1 열쇠 (그림 6-5) 의 두개 의 파라메 터 와 그 파라메 터 들에 대 한 서 명 을 
포함한다. 

• Fortezza 
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보통 서명은 통보문의 하쉬를 취하고 그것을 송신자의 공개열쇠로 암호화하여 생성 
된 다. 이 경우에 하쉬는 hash ( clientHello . random || serverHello . random 11 
serverParams ) 로 정 의 된 다. 따라서 하쉬 는 디 피 -헬 만이 나 RSA 파라메 터 들뿐 아니 라 초 
기의 hello 통보분으로부터 두개의 한번쓰기정보들도 포함한다. 그로부터 재 연공격과 허 
위 진술로부터 안전하게 한다. DSS 서명의 경우에 하쉬는 SHA -1 알고리듬을 리 용하여 진 
행 된다. RSA 서 명 인 경 우에 MD 5 와 SHA -1 하쉬 는 둘 다 진행 되 며 두개 의 하쉬 (36 byte ) 
들의 련결은 봉사기 의 공개열쇠 로 암호화된다. 

다음 닉명 이 아닌 봉사기(닉명의 디피-헬만을 사용하지 않는 봉사기)는 의뢰기로부 
터 증명서를 요구 할 수 있 다. certificate_request 통보문은 두 파라메 터 즉 
certificate _ type 와 certificate _ au 比 iority 들을 포함한다. 증명서 형 은 공개열쇠알고리 듬 
과 그 리용을 표시 한다. 

• RSA , 서명전용 

• DSS , 서명전용 

• 고정디피-헬만을 위한 RSA ： 이 경우에 서명은 RSA 로 서명된 증명서를 보내여 
인증에 리용된다. 

• 고정 디 피 -헬 만을 위 한 DSS : 인증하는데 만 재 사용 

• 림시디피-헬만용 RSA 

• 하루살이 디 피 -헬 만용 DSS 

• Fortezza 

certificate _ request 통보문에 서 두번째 파라메 터 는 신용되 는 증명 국들의 이 름들을 
구별하는 목록 0 [다. 단계 2 의 마지막통보문과 늘 요구되는 통보문은 server_done 통보문 
인데 이 것은 봉사기 hello 와 관련통보문의 끝을 나타내 기 위하여 봉사기 가 보낸다. 이 
통보문을 보낸후에 봉사기는 의뢰 기 응답을 기 다린다. 이 통보문은 파라메터를 가지지 않 
는다. 

단계 3. 의뢰기인중과 열쇠교환 

sever _ done 통보문의 접수후 의뢰기는 요구되는 봉사기에 정당한 증명서가 제공되 
였는가를、인하고 sever _ hello 파라메 터 들이 접 수가능한가를 검 사한다. 만일 모든것 이 
만족되면 의뢰기는 하나 혹은 그이상의 통보문을 봉사기에 다시 보낸다. 

봉사기가 증명서를 요구하였으면 의뢰기는 중명서통보문을 보내는것으로 이 단계를 
시작한다. 만일 알맞는 증명서를 쓸수 없으면 의뢰기는 대신 no_certificate alert 를 보 
낸다. 

다음은 client_key_exchange 통보문인데 이것은 이 단계에서 반드시 보내야 하는것 
이다. 통보문의 내용은 열쇠교환의 형에 의존하는데 다음과 같다. 

• RSA : 의뢰 기 는 48 byte 의 prejnaster secret ^ 생 생 하고 봉사기의 증명서 에 있는 
공개 열쇠 또는 server _ key_exchange 통보문의 림시 RSA 열쇠로 암호화한다. 
Mwfer secref 를 계 산해 야 할 필 요성 에 대 하여 서 는 후에 설 명 한다. 

• 림시 혹은 닉명의 디피-헬만: 의뢰기의 공개디피-헬만파라메터가 설정된다. 

• 고정된 디피-헬만: 의뢰기의 공개디피-헬만파라메터 들이 증명서통보문으로 보내 
졌으므로 이 통보문의 내용은 무효이 다. 

• ForteMa : 의뢰기의 fortezxa 파라메 터들을 보낸다. 
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마지막으로 이 단계에서 의뢰기는 의뢰기증명서의 정확한 확인을 제공하기 위하여 
certificate_verify 통보문을 보낼수 있다. 

이 통보문은 다만 서명능력을 가진 다음의 어떤 의뢰기증명서만을 보낸다(실례로 고 
정디피-헬만파라메터들을 포함한것들을 제외한 모든 증명서들). 이 통보문은 아래와 같 
이 정의된 선행한 통보문에 기초한 하쉬코드를 가지고 서명된다. 

Certificate Verify , signature . md 5 _hash 

MD 5 ( master_secret | | pad _2 | | MD 5 ( handshake_messages 11 master_secret | | 
pad_l |)); 

Certificate , signature . sha _ hash 

SHA ( master_secret 11 pad _2 11 SHA ( handshake_messages 11 master_secret 
I I pad _ l )); 

여기서 pad_l 과 pad _2 는 MAC 에 대해 이미 정의된 값이며 핸드쉐이크통보문은 이 
통보문을 포함하지 않지만 client_hello 에서 시 작을 보내 고 받는 모든 핸드쉐 이크규약을 
참조하며 master_secret 는 그것의 구조가 이 절에서 후에 설명하게 되는 계산된 비밀값 
이다. 만일 사용자의 비밀열쇠가 DSS 이면 그것은 SHA -1 하쉬를 암호화하는데 리용된다. 
사용자의 비밀열쇠가 RSA 이면 그것은 MD 5 와 SHA -1 하쉬들의 련결을 암호화하는데 리 
용된다. 어느 경우에도 목적은 의뢰기증명서용의 비밀열쇠에 대한 의뢰기의 소유권을 증 
명하는것 이 다. 만일 어떤 사람이 그 의뢰기의 증명서 를 악용한다고 해도 그는 이 통보문 
을 보낼수 없을것이다. 

단계 4. 끝내기 

이 단계는 안전한 접속의 설정을 완료한다. 의뢰기는 암호명세서변경통보문을 보내고 
현재의 암호명세서에 미정의 암호명세서를 복사한다. 이 통보문이 암호명세서변경규약을 사 
용하여 보내온것 이지만 핸드쉐 이 크규약의 부분을 고려 하지 않았다는것을 주의 해 둔다. 

다음 의뢰기는 곧 새로운 알고리듬，열쇠들과 비밀에 따라서 완료통보문을 보낸다. 
완료통보문은 열 쇠교환과 확증처 리 들이 성 공적 으로 되 였는가를 확인한다. 완료통보문의 
내용은 두 하쉬값 

MD 5 ( master_secret | | pad _2| | MD 5( handshake _ messages | | Sender 11 master_secret 

I | pad _ l )); 

SHA ( master_secret 11 pad _211 SHA ( handshake_messages 11 Sender | | master_secre 

II | pad _ l )) : 

등의 련결이다. 여기서 Sender 는 의뢰기이고 핸드쉐이크통보문이 모든 핸드쉐이크통보 
문으로부터 이것을 포함하지 않는것까지의 모든 자료들이라는것을 확인하는 코드이 다. 

이 두 통보문에 대해 봉사기는 자기의 change _ cipher_spec 통보문을 보내고 현재의 
CipherSpec 에로 미정을 전송하여 자기의 완료통보문을 보낸다. 이 시점에서 핸드쉐이 
크는 완료되며 의뢰기와 봉사기는 응용층의 자료를 교환하기 시작한다. 

암호화처리 

두 조항 즉 열쇠교환으로 공유된 주비밀열쇠의 창조와 주비밀열쇠로부터 암호파라메 
터들의 생성이 중요하다. 
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주비밀열쇠의 창조 

공유된 주비밀열쇠는 안전한 열쇠교환에 의해 이 대화을 위하여 생성된 1회용 
48- byte (384 bit ) 값이다. 생성은 두 단계에 걸쳐 진행된다. 먼저 pre _ master _ secret 가 
교환되고 다음 master _ secret 가 쌍방들에서 계산된다. Pre _ master _ secret 교환에 대하여 
두가지 가능성이 있다. 

• RSA: 48 -byte pre _ master _ secret 는 의뢰기 에 의하여 생성 되며 봉사기의 공개 
RSA 열쇠로 암호화되여 봉사기에 송신된다. 봉사기는 자기의 비밀열쇠로 암호문 
을 분석하여 pre _ master _ secret 를 복호한다. 

• 고정된 디피-헬만:의뢰기와 봉사기는 둘 다 디피-헬만공개열쇠를 생성한다. 이 
것들이 교환된 다음 매측은 공유된 pre _ master _ secret 를 창조하기 위하여 디피- 
헬 만처 리(계 산)를 진행 한다. 

쌍방이 다 다음과 같이 master _ secret 를 계산한다. 

master_secret = MD 5( pre _ master_secret | | SHA (’ A ’ || pre _ master_secret 11 
ClientHello . random || Server Hello , random )) || 

MD 5 ( pre _ master_secret 11 SHA (’ BB ’ 11 pre _ master_secret 11 
ClientHello . random || Server Hell , random )) || 

MD 5( pre _ master_secret || SHA M ’ CCC’M pre _ master_secret || 
ClientHello . random || ServerHello . random )) 

여기서 ClientHello . random 과 ServerHello . random 은 초기 hello 통보문에서 교환되 
는 두개 의 한번 쓰기 정 보값들 이 다 . 

암호화파라메터의 생성 

CpherSpec 들은 의뢰 기 MAC 작성 비밀，봉사기 MAC 작성 비밀，의뢰 기쓰기 열쇠，봉사 
기쓰기열쇠，의뢰 기쓰기 IV ，봉사기쓰기 IV 를 요구하는데 그것들은 이 순서 로 주비밀열쇠 
로부터 생성된다. 이 파라메터들은 주비밀열쇠를 하쉬 하고 모든 필요한 파라메터 들을 위 
한 충분한 길이의 안전한 바이트렬을 만듦으로써 생성된다. 

주비 밀열쇠 로부터 열쇠 자료의 생성은 pre_master secret 로부터 주비밀 열쇠의 생성과 
같은 절차로서 진행된다. 이것은 충분한 량의 결과가 얻어 질 때까지 계속된다. 

Key_block = MD 5( pre _ master_secret | | SHA (’ A ’ 11 master_secret | | 
ServerHello . random 11 ClientHello . random )) | | 

MD 5 ( pre _ master_secret | | SHA (’ BB ’ | | master_secret 11 
ServerHello . random 11 ClientHello . random )) 11 
MD 5 ( pre _ master_secret | | SHA 11 ’ CCC ’ | | master_secret 11 
ServerHello . lrandom 11 ClientHello . random ))... 

이 알고리듬구는 준우연함수이다. 함수에 대한 준우연씨값을 master _ secret 로 볼수 
있다. 의뢰기와 봉사기의 우연수들은 암호분석을 복잡하게 하는 염 ( salt ) 값으로 볼수 있 
다 ( salt 값의 사용을 론의한 15장을 보시오). 
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전송층보안 

TLS 는 SSL 의 인 터네 트표준을 만드는것 을 목적 으로 하는 IETF 에 서 제 출한 표 
준규격이다. 현재 TLS 의 초판은 SSLv 3 과 매우 류사하다. 이 절에서는 차이점들을 
강조한다. 

판본번호 

TLS 레 코드형 식 은 SSL 레 코드형 식과 같다(그림 14-4). 그리고 머 리 부의 마당들은 같 
은 의미를 가진다. 한가지 다른 점은 판본값에 있다. TLS 의 현재4초안에 대하여 주요판 
본은 3이며 부차적 인 판본은 1이 다. 

통보문인중코드 

SSLv 3 과 TLS MAC 방식사이에는 두가지 즉 실제의 알고리듬과 MAC 처리 (계산)의 
범위에서 차이가 있다. TLS 는 RFC 2104에 정의된 HMAC 알고리듬을 리용한다. HMAC 
는 다음과 같이 정의된다. 

HMAC k = H [( K + © opad ) | | H [( K + © ipad ) | | M ]] 


여기서 


H = 매 몰된 하쉬함수 (TLS 에 서 MD 5 나 SHA -1) 

M = HMAC 에 대한 통보문입력 

K + = 결과가 하쉬코드의 블로크길이와 갈도록 왼쪽에 령을 채워 넣은 비밀열쇠 
여대와 SHA -1 에서 블로크길이는 512 bit ) 
ipad = 00110110(16 진수로 36) 이 64번 (512 bit ) 반복된것 

opad = 01011100(16 진수로 5必 이 64번 (512 bit ) 반복된것 

SSLv 3 은 덧붙인 바이트들이 블로크길이에 덧붙인 비밀열쇠와 XOR 되지 않고 비밀 
열쇠와 련결된것을 제외하고는 같은 알고리듬을 리용한다. 보안의 준위는 두 경우 대략 
같다. 

TLS 에서는 다음의 식 으로 표시되는 마당들을 MAC (계산)의 대상으로 한다. 

HMAC _ hash ( MAC _ write _ secret , seq_num | | TLSCompressed . type | | 

TLSCompressed . version 11 TLSCompressed . length 11 TLSCompressed . fragment )) 


MAC 계 산은 SSLv 3 계 산에 포함된 모든 마당들과 리용하고 있는 규약의 판본인 
TLSComprassed . Version 마당을 포함한다. 

준우연함수 

TLS 는 열쇠 생성 이 나 정 당성검 증의 목적 으로 PRF 라는 우연함수를 리용하여 비밀열 
쇠 들을 자료블로크에 로 확장한다. 목적 은 하쉬함수와 MAC 에 대 한 여 러 가지 공격 에 대 
하여 안전 한 방법 으로 비 교적 작은 공유된 비 밀 값을 리용하여 보다 긴 자료블로크들을 
생 성 하는것 이 다. PRF 는 다음의 자료확장함수에 기 초한다(그림 14-7). 
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대길이 = hash 크기 11 

그림 14-7. TLS 함수 P _ 하쉬 (비 밀값, 씨 ) 


P_hash ( secret , seed ) = HMAC _ hash ( secret , A (1) || seed ) || 
HMAC _ hash ( secret , A (2) || seed ) || 
HMAC _ hash ( secret , A (3) jjseed ) || ••- 

여기서 AO 는 다음과 같이 정의된다. 

A (0)= seed . 

A ( i ) = HMAC_hash ( secret , A ( i -1)) 


자료확장함수는 기 본하쉬함수로서 MD 5 나 SHA -1 들중 어 느 하나를 가지 는 HMAC 
알고리듬을 리용한다. 보는바와 같이 P _ hash 는 요구되는 자료량을 만드는데 필요되는 
회수만큼 반복될수 있다. 실례 로 P _ SHA -1 를 64 byte 의 자료를 생성하는데 리용한다면 
그것을 4번 반복하여 야 80 byte 의 i 료를 만들수 있다. 거 기서 마지막 16 byte 는 버린다. 
이 경우에 P _ MD 5 도 역시 4번 반복되여 야 정확히 64 byte 의 자료를 만들수 있다. 매 반 
복마다 두번 g HMAC 실행 이 포함되 는데 매 실행은 또 두번의 기 본하쉬알고리 듬의 실행 
을 포함한다. 
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PRF 를 될 수록 안전하게 하기 위하여 어 느 알고리 듬이 든 안전하면 그것 의 보안을 
담보하는 방법 으로 두개의 하쉬알고리 듬을 리 용한다. PRF 는 다음과 같이 정의된다. 


PRF ( secret , lable , seed ) = P _ MD 5 ( SI , label || seed ) © P _ SHA -1 ( S 2, label || seed ) 


PRF 는 입력으로 비밀값，식별표식과 씨값을 취하여 임의의 길이의 출력을 만든다. 
비밀값을 절반 ( S 1 과 S 2) 으로 나누고 매 절반에 대하여 P_hash 를 적용하고 하나의 절반 
에는 MD 5 를，다른 절반에는 SHA 를 리용하여 출력을 든다. 그 두 결과들은 XOR 되 
여 출력 을 이 룬다. 이 를 위하여 P _ MD 5 는 일 반적 으로 XOR 함수에 대 한 입 력 자료와 같 
은 량의 자료를 만들수 있다. 

경고코드 (Alert Codes) 

TLS 는 SSLv 3 에 정의된 no_certificate 를 제외한 모든 경고코드들을 지원하고 
있다. TLS 에는 많은 코드들이 ^ 정의되여 있다. 이것들중 다음의것들은 치명적인 
경 고들이 다. 

• decryption_failed: 타당치 않은 방법으로 복호된 암호문 즉 검사시에 그것 이 블 
로크길이의 짝수배가 아니거 나 그것의 덧붙임값들이_정확치 않다. 

• record_overflow: 길이가 2 14 +2048 byte 를 넘는 통신부하이나 혹은 길이가 
2 14 +1024 byte 보다 긴 암호문을 가지는 TLS 레 코드가 접수되 였다. 

• unknown_ca ： 정당한 증명서련쇄 혹은 부분련쇄를 접수하였지만 그 증명서를 CP 표 
확인할수 @거나 알려 진 믿을만한 CA 와 일치되지 않기때문에 접수할수 없다. 

• access_denied ： 타당한 증명서가 수신되였지만 접근조종을 적용한 결과 송신자 
가 류통을 계속하지 않기로 하였다. 

• decode_error ： 마당이 자기의 정의범위를 벗어 나거나 통보문의 길이가 정확치 
않기때문에 통보문은 복호할수 없다. 

• export_restriction ： 열쇠길이에 대한 전파제한에 따르지 않는 류통이 발견되였다. 

• protocol_version : 의뢰기가 류통을 시도한 규약판본이 확인되였지만 지원되지 
않는다. 

• Insufficient_security ： 봉사기가 의뢰기에 의하여 지원되는것보다 더 안전한 암호들 
을 요구하기때문에 류통이 실패 할 때 handshake_failure 를 대신하여 돌려 준다. 

• Internal_error ： 단 또는 규약의 정 확성 에 무관계 한 내 부오유는 통신을 계 속할 
수 없게 한다. 

새로운 경고들중의 나머지는 다음과 같다. 

• decrypt_error ： 핸드쉐이크암호화조작은 서명을 검증할수 없고 열쇠교환을 복호 
화하거나 끝내기통보문을 유효하게 할수 없는것 등을 비롯하여 실패한다. 

• user_concealed ： 규약의 부족점과 관련되지 않는 일련의 리유로 하여 이 핸드쉐 
이크가 무효로 된다. 

• no_renegotiation : 의뢰 기 에 의 하여 hello 요구에 응답을 보내거 나 봉사기 에 의 
하 g 초기핸드쉐 이 크후에 의 뢰기 hello 에 대 한 응답을 보낸 다. 이 통보문들중의 
하나는 보통 재류통에 귀착되지만 이 정보는 송신자가 재류통을 할수 없다는것을 
표시한다. 이 통보문은 항상 경고이 다. 
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암호묶음 (Cipher Suites ) 

SSLv 3 에서 리용할수 있는것과 TLS 에서 리용할수 있는 암호묶음들사이에는 일부 
약간한 차이들이 있다. 

• 열쇠 교환: TLS 는 Fortezza 를 제 외 한 SSLv 3 의 모든 열쇠 교환기 술을 지 원 한다. 

• 대칭 암호화알고리듬: TLS 는 Fortezza 를 제외 한 SSLv 3 에 있는 모든 대 칭암호알 
고리듬들을 지원한다. 


의뢰기중명서형 

TLS 는 증명 서 요구통보문에 서 요구되 는 다음의 증명 서 들을 정 의 한다. rsa _ sign , 
dss _ sign , rsajfixed _ dh ， dss _ fixed _ dh 이다. 이것들은 모두 SSLv 3 에서 정의된다. 또한 
SSLv 3 은 rsa _ ephermeral _ dh , dss _ ephermeral _ dh 와 fortezza _ kea 들을 포함한다. 림 시 
디피-헬만은 RSA 혹은 DSS 들중의 히^나를 가지고 디피-헬만파 ej 세터의 서명을 포함한다. 
즉 TLS 에 대하여 rsa _ sign 과 dss _ sign 형들은 그 함수로 사용되며 개개의 서명형은 디피_ 
헬만파라메 터 들을 서 명 하는데 는 필요가 없다. TLS 는 Fortezza 방식 을 포함하지 않는다. 

Certificate _ Verify 와 완료통보문 

TLSCertificate _ Verify 통보문에서 MD 5 와 SHA -1 하쉬들은 다만 핸드쉐 이크통보문우에 
서만 계산된다. SSLv 3 에 대하여 하쉬계산들 역시 주비밀열쇠와 pad 들을 포함하였다는것을 
상기하자. 이때문에 추가마당들은 보안을 더 부가하지 못한다는것을 알수 있다. 

SSLv 3 에서의 완료통보문처럼 TLS 에서도 완료통보문은 공유된 master _ secret 이전 
의 핸드쉐이크통보문들 및 의뢰기 또는 봉사기를 식별하는 표식에 기초한 하쉬이다. 
TLS 에서 계산은 좀 다르다. 즉 

PRF ( master _ secret , finishedjable , MD 5 ( handshake _ messages ) 1 1 SHA -1 (handsh 
ake _ messages ) 이 다. 

여기서 finished _ label 은 의뢰기에 대하여 문자렬《의뢰기완료》이고 봉사기에 대하 
여 《봉사기 완료》이 다. 


암호화처 리 

TLS 에서 pre _ master _ secret 는 SSLv 3 에서와 같은 방법으로 계산된다. 

SSLv 3 에서처 럼 TLS 에서도 master _ secret 는 pre _ master _ secret 와 두개의 hello 우 
연수들의 하쉬함수로서 계산된다. 

TLS 의 계산형식은 SSLv 3 와 다르며 다음과 같이 정의된다. 

master _ secret = 

PRF ( pre _ master _ secret , “master secret ” , ClientHello . random 11 Server Hello , 
random ) 


알고리 듬은 48 byte 의 준의연출력 이 얻 어 질 때 까지 진행된다. 열쇠블로크자료 
( MAC 비밀열쇠들, 대화암호화열쇠들과 IV )의 계산은 다음과 같이 정의된다. 

key _ block = 

PRF ( master _ secret , “ key expansion ” , 

Security Parameters . server _ random || Security Parameters . client _ random ) 
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SSLv 3 과 같이 열쇠블로크는 master _ secret 와 의뢰기 및 봉사기의 우연수들의 함수 
이다. 그러나 TLS 에 대하여 실제적인 알고리듬은 다르다. 

메 꾸기 

SSL 에서 사용자자료의 암호화에 앞서 첨 가되 는 메 꾸기 ( padding ) 는 암호화될 자료의 
총 크기 가 암호문블로크길 이의 배수가 되도록 요구되는 최소한도의 량이 다. TLS 에서 메 꾸 
기는 최대로 255 byte 까지 암호문블로크길이의 배수로 얻어 지는 임의의 량이 될수 있다. 만 
일 평문(혹은 압축이 요구되면 압축된 본문)과 MAC 그리고 메꾸기길이바이트가 모두 
79 byte 이면 바이트단위로 메꾸기의 길이는 1,9,17 등 249까지 될수 있다. 여러가지 메꾸기 
길이는 교환된 통보문의 길이해석에 기초한 공격을 좌절시키는데 리용할수 있다. 


14.3 안전한전자거래 

안전한 전자거 래 (Secure Electronic Transaction : SET ) 은 인터 네 트에서 신용카드거 
래 를 보호하기 위 하여 설계되 였으며 공개된 암호와 보안을 위 한 명세서 이다. 1996년 2월 
에 MasterCard 와 Visa 에 의한 보안표준에 대한 요구로부터 현재의 판본 SETvl 이 출현 
하였다. Microsoft , Netscape , RSA , Terisa 와 Verisign 들을 비롯하여 많은 회사들이 최 
초의 설계명세서를 개발하는데 열중하였다. 1996년 초에 수많은 안들이 시험되였으며 
1998년에 첫 SET_compliant 제품들이 나오게 되였다. 

SET 그자체는 지불체계가 아니 라 사용자들이 신용카드결재의 하부구조를 인터네트 
와 같은 열린 망에서 안전하게 실현하기 위한 보안규약과 형식들의 모임이다. 

본질적 으로 SET 는 다음의 세 가지 봉사를 제공한다. 

• 해당 거래에 관계하는 모든 대방들에 안전한 통신통로를 제공한다. 

• X . 509 v 3 수자증명서에 기초한 신용을 제공한다. 

• 정보가 필요한 때，필요한 곳에서 거래의 대방들만 쓸수 있으므로 개인성을 담보한 
다. 

SET 는 1997년 5월에 발행된 세권의 책 에서 정의된 복잡한 명세서 이다. 

• 1권 : 업 무해 설 (80 폐 지 ) 

• 2권 : 프로그람작성 지 도서 (629 페 지 ) 

• 3권 :형 식 적 규약명세 서 (262 페 지 ) 

이 것 은 총 9기페 지 의 설 명 서 이 다. 반대 로 SSLv 3 설 명 서 는 63페 지 이 며 TLS 설 명 서 는 
기페지이다. 따라서 이 많은 설명서의 개요만을 이 절에서 서술한다. 

SET 개팔 

SET 에 대한 론의를 SET 에 대한 업무요구，그것의 기본특성들과 SET 거래의 관계 
자들을 고찰하는것으로부터 시작할수 있다. 

요구 

SET 명세서 의 1권은 인터 네 트와 다른 망들에 서 신용카드에 의한 안전한 지 불처 리 에 
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대 한 다음의 사무요구를 서술한다. 


• 결재와 주문정보의 기밀성을 제공할것: 이 정보가 안전하고 지정된 접수자만이 볼 
수 있다는것을 신용카드소유자들에게 확신시키는것이 필요하다. 또한 기밀성은 거 
래대 방이 나 제3자에 의한 기만에 의한 위험을 줄인다. SET 는 기밀성을 보장하는데 
암호를 사용한다. 

• 전송된 모든 자료의 완정성을 담보할것: 즉 SET 통보문들이 전송기간에 내용에서 
아무런 변화도 없다는것을 담보한다. 완정성을 제공하는데 수자서명을 리용한다. 

• 카드소유자가 신용카드구좌의 정당한 사용자라는것 을 인중할것 : 개 별적구좌번호에 
카드소유자를 련결시키는 기구에 의해 협잡과 지불처리의 전반적인 비용을 줄인다. 
수자서 명 과 증명 서 들은 카드소유자가 해 당구좌의 정 당한 사용자이 라는것 을 증명 하 
는데 리용된다. 

• 판매점이 재정기관과의 련계를 통하여 신용카드거래를 접수할수 있다는 인중을 제 

공할것 : 이것은 우의 요구에 대 한 보충이다. 카드소유자는 자기들이 안전한 결재를 
처 리할수 있는 판매점들을 확인할수 있어 야 한다. 여 기서도 수자서명과 인증이 사 
용된 다. 

• 가장 좋은 보안실천들과 전자상거래에서 모든 합법적대방들을 보호하기 위한 체계 
설계기술들의 리용을 담보한다: SET 는 고도로 안전한 암호화알고리듬과 규약에 기 
초한 잘 검 사된 명세서 이다. 

• 전송층의 보안기 구에 의 존하지 않고 또한 그러한 규약과 병 용할수도 있는 규약 

을 준비할것 : SET 는 “미가공” TCP/IP 모임 에 서 안전하게 운영할수 있 다. 그러 
나 SET 는 IPSec 와 SSL / TLS 와 같은 다른 보안기구의 사용에 저촉되지 않는다. 

• 쏘프트웨어와 망조달자들속에서 호상운영성을 장려하고 촉진한다: SET 규약과 형 식 
들은 장치 가동환경，조작체 계 와 Web 쏘프트웨어 와 무관계하다. 


SET 의 기본특징 

우에 서 서 술한 요구를 만족시 키 기 위해 SET 는 다음과 같은 기 능들을 가진 다. 

• 정보의 기밀성 : 카드소유자구좌와 지불정보는 그것이 망을 통하여 전송될 때 담보 
된다. SET 의 흥미 있고 중요한 특징은 판매점 이 카드소유자의 신용카드번호를 알 
수 없게 하는것 이 다. 즉 이것 은 발행한 은행 에 만 제 공된다. DES 는 기 밀성 을 보장 
하는데 리 용된 다. 

• 자료의 완정성: 카드소유자로부터 판매점에게 전송되는 지불정보는 주문정보，개 
인자료와 지불지시들을 포함한다. SET 는 이 통보문내용들이 전송중에 변경되지 않 
도록 담보한다. RSA 수자서 명 은 SHA -1 하쉬 코드를 리용하여 통보문완정 성 을 제 공 
한다. 확실한 통보문들은 SHA -1 를 사용한 HMAC 에 의하여서도 보호된다. 

• 카드소유자구좌인중: SET 는 카드소유자가 해당 카드구좌번호의 정당한 사용자라 
는것 을 판매 점 이 확인할수 있게 한다. SET 는 이 를 위하여 RSA 서 명 을 가지 는 
X .509 v 3 수자증명서들을 리용한다. 

• 판매점인중: SET 는 판매점이 재정기관과 련계를 가짐으로써 지불카드들을 접수할 
수 있 다는것 을 카드소유자가 확인할수 있게 한다. SET 는 이 를 위하여 RSA 서 명 을 
가진 X .509 v 3 수자증명서를 리용한다. 
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SET 는 IPSec 와 SSL / TLS 와는 달리 매 암호화알고리듬에 대하여 하나의 선택만을 
제공한다. 이것은 SET 가 단일요구모임을 가지는 단일응용이지만 IPSec 와 SSL / TLS 는 
일 정 한 응용범 위 를 지 원 하도록 한것 이 기 때 문 이 다. 


SET 참가자 

그림 14-8 에 SET 체 계의 참가자들을 보여 주었다. 



그림 14-8. 안전한 전자상업의 구성 


• 카드소유자 ( cardholder ) : 전자환경 에 서 소비 자들과 회 사구매 자들은 인 터 네 트상에 
서 개인용콤퓨터로 판매점들과 거래한다. 카드소유자는 발행자에 의하여 발행된 
지 불카드 (실 례 로 MasterCard , Visa ) 의 공인된 소유자이다. 

• 판매 점 ( merchant ) : 판매 점 은 카드소유자에 게 상품들이 나 봉사들을 팔아야 하는 개 인 
혹은 집 단이다. 일반적으로 이 상품들과 봉사들은 Web 싸이트를 거쳐 혹은 전자우편에 
의하여 제공된다. 지불카드들을 접수한 판매점은 구매자와 련계를 가져 야 한다. 

• 금융기 업 ( issuer ) : 이것은 은행과 같은 금융기 업들로서 카드소유자들에게 지불카드 
를 제공한다. 일반적으로 구좌들이 적용되며 우편으로 또는 직접 신청 이 작성된다. 
결국 카드소유자의 채무에 따르는 지불을 책임지는 발행이다. 

• 획득자 ( acquirer ): 이것은 판매점와 함께 구좌를 확립하고 지불카드인증과 지불을 
처 리하는 금융기 관들이 다. 판매 점 들은 보통 한개 이 상의 신용카드를 접 수하는데 
여러개의 신용대장이나 여러가지 개별적발행자들을 취급하려고 하지 않는다. 획득 
자는 주어 진 카드가 능동구좌이고 목적한 구매 가 신용한계를 넘지 않는다는것을 
판매점 에 확인시 킨다. 획득자는 또한 판매점의 구좌에 대 한 지불의 전자전송도 제공 
한다. 다음으로 발행자는 획득자에게 어떤 지불망을 통하여 전자자금을 상환한다. 
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• 지불관문 (payment gateway): 이것은 판매점지불통보문을 처리하는 획득자나 지정 
된 계3자에 의해서 조작되 는 기 능이 다. 지 불관문은 SET 와 지 불인증과 지 불기 능을 
위 한 기존지불카드지불망사이를 대면시킨다 . 관매점들은 인터네트상에서 지불관문 
과 SET 통보문을 교환하지 만 그 지불관문은 획득자의 금융처 리체 계 에 직 접 혹은 
망접속된다. 

• 중명 국 ( CA ): 이것은 카드소유자，판매 점 들 그리 고 지 불관문들에 X .509 v 3 공개열쇠 
증명 서 들을 발행하는 신용되 는 기 관이 다. SET 의 성 공은 이 를 위하여 리용가능한 
CA 하부구조의 존재에 의존한다. 앞의 장들에서 론의한것처럼 CA 들의 계층도가 
리 용되 므로 참가자들이 기 본증명 국에 의하여 직 접 증명 되 지 않아도 된다. 

결재를 할 때 요구되는 사건렬을 보자. 이때 다음과 같은 상세한 암호학적과정을 
고찰할수 있다. 

1. 고객은 구좌를 연다. 고객은 전자지 불과 SET 를 지 원하는 은행 과 MasterCard 나 
Visa 와 같은 신용카드의 계 약을 맺는다. 

2. 고객은 증명서를 받는다. 적당한 신원확인후 고객은 X .509 v 3 수자증명서를 받는 
데 여 기 에는 은행 이 서명한다. 증명서 에는 고객의 RSA 공개열쇠와 그것의 유효 
기 간을 확인되 여 있 다. 그것 은 또한 은행 에 의하여 담보되 는 고객 의 열 쇠 쌍과 
그의 신용카드사이 의 관계 를 확립한다. 

3. 판매점은 매개의 증명서를 가진다. 어떤 상표의 카드를 접수한 판매점은 그자신 
이 소유한 두개 의 공개열 쇠 들에 대 한 두개 의 증명 서 (하나는 통보문에 서 명 하기 
위한것이고 또 하나는 열쇠교환을 위한것)를 가지고 있어야 한다. 판매점은 또 
한 지 불관문의 공개열쇠 검 증의 복사를 필요로 한다. 

4. 고객이 주문한다. 이것은 매개 판매점의 Web 싸이트를 열람하여 항목들을 선택 
하고 가격을 정하는것을 포함하는 처 리 이 다. 다음 고객은 판매점에 사려는 품종, 
그 매개의 가격들, 총 가격, 주문번호목록을 포함하는 주문양식을 보낸다. 

5. 판매점이 검증된다. 주문양식외에 판매점은 자기 증명서의 복사를 보내고 결과 
고객은 정 당한 판매점을 대상하고 있다는것을 확인할수 있다. 

6. 주문정 보와 지불정보를 보낸다. 고객은 판매점 에 자기의 증명서 와 함께 지 불정 
보를 보낸다. 주문정보는 주문양식에서 매 항목들을 재확인하는데 쓰인다. 지불 
은 신용카드세부들을 포함한다. 지불정보는 판매점 이 읽을수 없게 암호화된다. 
고객의 증명서는 판매점 이 고객을 확인할수 있게 한다. 

7. 판매점은 지불권한을 요구한다. 판매점은 고객 이 가지고 있는 신용이 이 구매에 
충분하다는것 을 확인할것 을 요구하면서 지 불관문에 지 불정 보를 보낸 다. 

8. 판매점은 주문을 확인한다. 판매점은 고객에게 주문에 대한 비준을 보낸다. 

9. 판매점은 소비품이 나 봉사들을 제공한다. 판매점은 상품을 보내거 나 고객에게 
봉사를 제공한다. 

10. 판매 점 은 지불을 요구한다. 이 요구는 지 불관문에 로 전송되는데 그것 은 모든 지 
불처 리 를 조종한다. 

쌍대서명 

SET 규약의 세부를 고찰하기전에 SET 에 도입된 중요한 성과인 쌍대서명을 론의하 
자. 쌍대서명의 목적은 서로 다른 두 수신자에게 보내려는 두개의 통보문을 련결하는것 
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이 다. 이 경우에 고객은 주문정보 ( OI ) 를 판매점에 보내고 지불정보를 은행에 보낸다고 
하자. 판매점은 고객의 신용카드번호를 알 필요가 없으며 은행은 고객의 주문에 대한 세 
부를 알 필요가 없다. 고객은 이 두 항목을 제각기 보관하며 개 인성을 위하여 여가의 보 
호를 제공 받는다. 그러나 두 항목은 필요에 따라 론박을 해결하는데 리용할수 있도록 
련결되여야 한다. 그것은 고객이 지불 대 주문관계를 밝히는데 필요하다. 

련결에 대한 필요성을 밝히기 위해 고객이 두 통보문 즉 수표한 주문정보와 수표한 
지불정보를 판매점에 보내고 판매점은 PI (지불정보)를 은행에 통과시킨다고 하자. 만일 
판매점이 이 고객에게서 온 또 다른 주문정보를 받으면 판매점은 이 주문정보가 본래의 
주문정보보다 더 좋은 지불정보를 준다고 생각할수 있다. 련결은 이것을 막는다. 



: ill 


卜수 ( SHA -1) 


: PIMD = 지불정보통보문요약정보 

OIMD - 부훈된보통보문 
POMD = 지■물주문통보문요약정보 
E ■ 암호화 ( RSA ) 

KR * =고객 전용서명열쇠 


그림 14-9. 쌍대서명의 작성 


그림 14-9 에 앞에서 설명한 요구를 만족시키는 쌍대서명을 보여 주었다. 고객은 PI 
의 하쉬 와 이의 하쉬 를 ( SHA -1 를 리용하여 ) 취 한다. 다음 이 두 하쉬 들은 련결되 고 그 
결과의 하쉬가 취해 진다. 결국 고객은 자기의 비밀서명열쇠를 가지고 마지막하쉬를 암 
호화하고 쌍대서명을 창조한다. 조작은 다음과 같이 요약할수 있다. 

DSzE % [ H ( H ( PI )|| H ( OI ))] 

여 기서 KRc 는 고객의 비 밀서명열쇠 이 다. 이 때 판매 점 이 쌍대 서명 ( DS ) 과 OI , 그리 고 
PI ( PIMD ) 에 대한 통보문요약을 가지고 있다고 가정하자. 판매점도 역시 고객의 증명서 
로부터 엄 어 진 그의 공개열쇠 를 가지 고 있다. 이때 판매 점은 다음의 두개의 값을 계산 
할수 있다. 


H ( PIMD || H ( OI )) 및 D KUc [ DS ] 
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여 기서 KUc 는 고객의 공개서명열쇠 이 다. 만일 이 두 량이 같다면 그때 판매 점은 
서명을 확인한것으로 된다. 마찬가지로 은행이 DS ， PI , OI ( OIMD ) 에 대한 통보문요약정 
보，그리 고 고객의 공개열쇠 를 가지 고 있으면 다음의 것 을 계 산할수 있 다. 

H ( H ( PI )|| OIMD ) 와 D KUc [ DS ] 

또한 이 두 량이 갈으면 은행은 서명을 확인한다. 총체적으로 

1. 판매점은 이를 접수하고 서명을 확인한다. 

2. 은행은 미를 접수하고 그 서명을 확인한다. 

3. 고객은 이와 PI 를 련결하고 그 결합을 검증할수 있다. 

실례 로 판매 점 이 거 래 에서 자기 에게 유리하도록 다른 이를 바꾸어 놓으러 고 한다고 
하자. 그러 면 하쉬 가 현재 의 OIMD 와 일 치하는 다른 이를 찾아야 한다. SHA -1 에 대 하 
여 이것은 실현할수 없을것이다. 결과 판매점은 이 미와 다른 이를 련결할수 없다. 

지불처리 

표 14-3 에 SET 에 의하여 지원되는 거 래형 태들을 보여 주었다. 다음의 거 래들에서 
그 일부를 상세히 보자. 


• 구입요구 

• 지불인증 

• 매 매 처 리 


구입 요구 

구입 요구 (Purchase Request ) 교환에 앞서 카드소유자는 상품이 나 봉사에 대 한 열 람, 
선택 및 주문을 완료한다. 이 준비적인 단계는 관매점 이 완료된 주문방식을 고객에게 보 
낼 때 끝난다. 이와 갈은 선행한 모든것들은 SET 를 리용하지 않고 진행된다. 

구입요구교환은 4개의 통보문 즉 초기요구，초기응답，구입요구와 구입응답으로 구성된다. 
판매점에게 SET 통보문을 보내기 위하여 카드소유자는 판매점의 증명서의 복사와 지불관문을 가 
져야 한다. 고객은 판매점에 보낸 요구개시통보문에서 검증을 요구한다. 이 통보문은 고객이 리 
용하고 있는 신용카드의 상표를 포함한다. 통보문은 또한 고객에 의하여 이 요구/응답쌍으로 제 
정된 ID 와 시기성을 담보하는데 리용되는 한번쓰기정보도 포함한다. 

판매점은 응답을 하면서 자기 비밀서명열쇠 로 거기 에 서명한다. 응답은 고객으로 
부터의 한번쓰기정보，고객 이 통보문에 돌려 보낼 다른 한번쓰기정보 그리고 구입거래에 
대한 거래 ID 를 포함한다. 서명된 응답외에 응답개시통보문에는 판매점의 서명증명서와 
지 불관문의 열 쇠교환용증명 서 가 포함된 다. 

카드소유자는 판매점의 관문증명서들을 그들 각자의 CA 서명들로 검증하고 다음이와 PI 
를 작성한다. 판매점에 의하여 할당된 거래 ID 는 이와 미들에 다 배치된다. 이는 상품들의 
값과 수량과 같은 명백한 주문자료를 포함하지 않는다. 그대신 그것은 첫 SET 통보문전의 
물건을 사는 단계에서 판매점과 고객사이의 거래과정에 생성되는 주문참조정보를 포함한다. 
다음 카드소유자는 구입요구통보문을 준비 한다(그림 14-10). 이를 위 하여 카드소유자는 1회 
용대칭암호열쇠 Ks 를 생성한다. 통보문은 다음과 같은 정보를 포함한다. 
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카드소유자등록 

카드소유자들은 자기들이 SET 통보문을 판매점에게 보내기전에 ◦쇼에 
등록하여 야 한다. 

판매 점 등록 

판매점은 그들이 고객과 지불관문을 포함한 SET 통보문을 교환하기전에 
CA 에 등록하여야 한다. 

구입요구 

고객으로부터 판매점에 보내는 판매점의 이와 은행의 pi 를 포함한 통보문. 

매 매 처 리 

신용카드계산서에 기초한 구입에 대하여 주어 진 량을 담보하는 판매점 
과 지불관문사이의 교환. 

지불인증 

판매점과 지불관문사이의 통보문교환에서 어떤 지불이 그 고객의 신용 
카드구좌에 서 지 불가능한가 하는것 을 조사한다. 

증명서들사이의 
대면 

CA 가 검증요구의 처리를 빨리 완료할수 없으면 그것은 요구자가 후에 
검사하여 보낼것을 표시하면서 판매점과 카드소유자에게 응답을 보낼것 
이다. 카드소유자나 판매점은 검증요구의 상태를 결정하고 요구가 승인 
되면 검증을 접수하는 검증조사통보문을 보낸다. 

구입 조사 

카드소유자가 구입응답을 접 수한후에 주문처 리상태 를 검 사할수 있다. 

이 통보문은 인증，매매，신용처 리 등의 상태 를 표시하지 만 다시 주문 
된 상품의 상태와 갈은 정보를 포함하지 않는다는것을 주의하시오. 

인증취소요구 

판매점 이 이전의 지불인증을 바로 잡도록 한다. 주문이 완료되지 않으 
면 판매점은 지불인증자체를 취소한다. 주문의 일부가 완료되지 않으면 
판매점은 지불인증의 일부만을 취소한다. 

매매취소요구 

판매 점 에 의 하여 정 확치 않게 입 력된 거 래활동과 같은 구입요구에서 판 
매점이 오유를 바로 잡도록 한다. 

환금처 리 

판매점이 상품이 되돌아 왔을 때와 파는 동안 파손될 때 카드소유자의 
계 산서 에 신용을 발행하도록 한다. SET 신용통보문은 항상 카드소유자가 
아니 라 판매 점 에 의하여 초기 화된다는것 을 주의 하시 오.처 리된 신용에 기 
인하는 카드소유자와 판매점사이의 통신은 SET 의 밖에서 일어 난다. 

환금취소 

판매 점 이 이 미 진행한 환금처 리 를 바로 잡도록 한다. 

지불관문증명서 
요구 

판매점 이 지 불관문을 조사하고 관문의 현재열쇠와 서 명검증의 복사를 
접수하도록 한다. 

묶음관리 

판매점이 지불관문과 판매점의 묶음에 대한 정보를 취급하는데 쓰인다. 

오유통보문 

응답자가 그것이 형식화 혹은 내용확인검사를 하지 못하기때문에 통보 
문을 접수하지 못하는 경우에 리용한다. 


1. 구입관련정보. 이 정보는 판매점에 의하여 지불관문에 부처 지는데 
n PI 

a PI 와 DI 우에서 처 리되 고 고객의 전용서명열쇠 로 수표된 쌍대서명 
a 이통보문요 약정 보 ( OIMD ) 

로 이루어 진다. 

OIMD 는 앞에 서 설 명 한것 처 럼 지 불관문과 쌍대 서 명 을 확인 하는데 필 요하 
모든 항목들은 Ks 로 암호화된다. 마지막항목은 

n 전자봉투이다. 이 것은 지 불관문의 공개열쇠교환열쇠 로 Ks 를 암호화* 
들어 진다. 이전에 기 록된 다른 항목들을 읽 기전에 봉투가 열 려야(복 
야) 하므로 그것을 전자봉투라고 한다. 






그림 14-10. 카드소유자가 보내는 구입요구통보문 


Ks 의 값은 판매점에게 리용가능하게 만들어 지지 않는다. 따라서 판매점은 어 
떠한 지불관련정보도 읽을수 없다. 

2. 주문관련정보 . 이 정보는 판매점에 의하여 요구되며 
n OI 

n PI 와 이에서 처리되고 고객의 비밀서명열쇠로 수표된 쌍대서명 
n PI 통보문요 약정 보 ( PIMD ) 

로 이루어 졌다. 

PIMD 는 판매점이 쌍대서명을 확인하는데 필요하다. 이는 명백히 보내진다는것 
을 주의 하시 오. 

3. 카드소유자중명서.이것은 카드소유자의 공개서명열쇠를 포함한다. 그것을 판매 
점과 지불관문이 요구한다. 

판매점 이 구입요구통보문을 접수하면 그것은 다음의 동작(그림 14-11) 을 수행한다. 

1. 자기의 CA 서명을 러용하여 카드소유자의 증명서를 검증한다. 

2. 고객의 공개서명열쇠를 리 용하여 쌍대서 명 을 검증한다. 이 것은 주문이 전송도중 
에 변경되지 않았으며 그것 이 카드소유자의 전용서명열쇠 로 서명되 였다는것을 
담보한다. 

3. 주문을 처리하고 지불정보를 인증을 위하여 지불관문에 보낸다(후에 설명). 
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요구통보문 



그림 14-11. 판매자가 고객의 구매요구를 확인 


4. 고객에게 구입응답을 보낸다. 

구입응답통보문은 주문을 알고 해당한 거래번호를 참조하는 응답블로크를 포함한다. 
이 블로크는 판매 점 에 의하여 판매 점 의 전용서명 열쇠 로써 서 명 된다. 블로크와 그 서명 은 
판매점의 서명검증용증명서와 함께 고객에게 보내진다. 

카드소유자의 쏘프트웨어는 구입 응답통보문을 접수할 때 먼저 판매 점의 증명서를 확 
인하고 다음 응답블로크에 대한 서명을 확인한다. 마지막으로 그것은 주문의 상태에 의 
하여 자료기지를 갱신하거나 사용자에게 통보문을 현시하는것과 같은 응답에 기초한 동 
작을 한다. 

지불인 중 

카드소유자로부터의 주문을 처리할 때 판매점은 그 거래에 대하여 지불관문으로 지 
불인증한다. 지불인증은 거래 가 금융기관에 의하여 승인된다는것을 담보한다. 권한은 판 
매점이 지불을 접수할것을 담보한다. 즉 판매점이 고객에게 봉사나 상품을 제공할수 있 
게 한다. 지불인증교환은 두 통보문 즉 인증요구와 인증응답으로 구성된다. 

판매점은 다음의것으로 이루어 지는 지불에 인중요구통보문을 보낸다. 
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1. 구입관련정보: 이것은 고객으로부터 얻어 지며 다음의것들이 포함된다. 
n PI 

n PI 와 이에서 계산되고 고객의 비밀서명열쇠로 서명된 쌍대서명 
n 이통보문요약정보 ( OIMD ) 

Q 전자봉두 

2. 인중관련의 정보: 이 정 보는 판매 점 에 의하여 생성되는데 

n 판매점의 전용서명열쇠로 서명된 거래를 포함하는 권한블로크와 판매점에 
의하여 생성된 1회 용대 칭열쇠 로 암호화된 거 래 ID 를 포함하는 권한블로크 
n 전자봉투. 이것은 지불관문의 열쇠교환용공개열쇠로 암호화하여 작성된다. 

3. 중명서 : 판매 점 은 카드소유자의 서 명 열쇠 증명서 (쌍대서 명 를 확인하는데 리 용)， 
판매점의 서명열쇠증명서(판매점의 서명 을 확인하는데 리용),판매점의 열쇠교환 
증명서(지불관문의 응답에 필요)들을 소유한다. 

지 불관문은 다음의 작업 을 진행한다. 

1. 모든 증명서들을 확인한다. 

2. 인증정 보블로크의 전자봉투를 복호하여 림 시열쇠 를 도출하고 인증정 보블로크를 
복호한다. 

3. 인증블로크에 있는 판매점의 서명을 검증한다. 

4. 대칭열쇠를 얻기 위한 인증블로크의 전자봉투를 복호하여 림시열쇠를 도출한 다 
음 지불블로크를 복호한다. 

5. 지불블로크에 있는 쌍대서명을 확인 

6. 판매 점 으로부터 접 수한 거 래 ID 가 고객 으로부터 (간접 적 으로) 접수한 PI 에서의 것 
과 일치한다는것을 검증한다. 

7. 금융기관으로부터 인증을 요구하고 접수한다. 

금융기 관으로부터 인증정 보를 엄 으면 지 불관문은 판매 점 에 인중응답통보문을 되 돌린 
그것은 다음과 같은 요소를 포함한다. 

1. 권한관련정 보: 관문의 전용서 명열쇠 로 수표된 인증블로크를 포함하고 관문에 의 
하여 생성 된 대 칭열쇠 로 암호화한다. 또한 판매 점 들의 1회 용대 칭공개열쇠교환용 
열쇠로 암호화한 수자식봉투를 포함한다. 

2. 획득통표정보: 이 정 보는 후에 효과적 인 지불에 리용된다. 이 블로크는 전자봉 
투와 함께 서명되고 암호화된 획득통표와 같은 형태이다. 이 통표는 판매점에 
의하여 처 리되지 않는다. 그것 은 지 불요구와 함께 귀 환되 여 야 한다. 

3. 중명 서 : 관문의 서 명열쇠 증명 서 




관문으로부터의 인증을 접수하고 판매점은 고객에게 상품과 봉사를 제공한다. 


매 매 처 리 

판매 점은 지 불관문과의 사이 에서 매매 요구통보문과 매매 응답통보문에 의 한 매매 처 리 
를 진행하고 지불을 받는다. 

판매 점 은 포착요구 (capture request ) 를 위 하여 포착요구블로크를 서 명 하고 암호화 
하는데 그것 은 지 불량과 거 래 ID 를 포함한다. 통보문은 역 시 판매 점 의 서 명열쇠 나 열쇠 
교환열쇠증명서와 마찬가지로 이 매매를 위하여 이미 (인증응답에서) 접수된 암호화된 획 
득증거를 포함한다. 

지 불관문이 매 매 요구통보문을 수신하면 그것 은 매 매 요구블로크를 복호하고 검 증하며 
획 득증거 블로크를 복호하고 검 증한다. 다음 그것 은 매 매 요구와 매 매 증거 사이 의 일 치 성 에 
대한 검사를 한다. 그리고 그것은 개별지불망에서 금융기관에 보낸 청구서를 창조한다. 
그러면 판매점의 구좌에 지불이 진행된다. 

다음 관문은 지불이 되 였다는것을 판매점 에 포착웅답통보문으로 알려 준다. 이 통보 
문에는 관문이 서명하고 암호화한 매매응답블로크가 포함된다. 또한 통보문은 관문의 서 
명용열 쇠증명 서 도 포함한다. 판매 점 의 쏘프트웨어 는 후에 지 불정 보를 참회하기 위하여 
매매응답을 보관해 둔다. 
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참고할 Web 싸이트들 

• Netscape’s SSL Page ： SSL 명세서를 포함한다. 

• Transport Layer Security Charter ： 최 근의 RFC 들과 TLS 용호상련결 망초안. 

• MasterCard SET Site ： 최근의 SET 문서들과 부록들 그리고 응용정보들. 

• Visa-Electronic Commerce Site ： MasterCard Site 에서와 같은 정보. 
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문 제 

1. SSL 과 TLS 에서 왜 change _ cipher_spec 통보문이 핸드쉐이크규약에 포함되지 

않고 개별적으로 존재하는가? 

2. Web 보안에 대한 다음의 위협들을 고찰하고 그 매개가 SSL 의 기능에 의해 어떻 

게 방지되는가를 설명하시오. 

-1) 힘내기공격 : 전통암호알고리듬에서 열쇠공간에 대한 전수탐색 

T -) 기지 평문사전공격 : 많은 통보문들의 HTTP GET 지 령과 갈은 예상할수 있는 
평문을 포함한다. 공격 자는 기지평문통보문의 모든 가능한 암호화를 포함하 
는 사전을 구성한다. 암호화된 통보문이 도청되 면 공격 자는 암호화된 기 지 
평문을 포함하는 부분을 취 하여 사전에서 암호문을 찾는다. 암호문은 갈은 
비밀열쇠 로 암호화된 입 력과 일치하여 야 한다. 만일 일 치하는것 이 여 러개 
있으면 적 당한것을 결정 하기 위해 충분한 암호문에 대 하여 그 매 개를 시 험 
해 볼수 있다. 이 공격은 특히 크기가 작은 열쇠들에 대하여 효과적이다(실 
례로 40 -bit 열쇠). 

n ) 재연공격: SSL 핸드쉐이크통보문들이 대면된다. 

m 중간대조공격: 공격자가 봉사기에 대하여 의뢰기로 행동하고 의뢰기에 대해 
서는 봉사기처럼 행동하면서 열쇠교환과정에 끼여 들수 있다. 

n ) 통과암호의 예측: HTTP 또는 다른 응용거래들에서 통과암호들이 도청된다. 

H ) IP 기만: 위조자료를 접수하도록 위조된 IP 주소를 리용한다. 

A) IP 강탈: 두 가입자들사이의 능동적이며 인증된 접속을 호환시켜 공격자는 그 
가입자들중의 하나로 참가한다. 

o ) SYN 범 람: 공격 자는 접속을 요구하는 TCP SYN 통보문을 보내는데 그 옹근 
접 속을 확립하는 마지 막통보문과는 응답하지 않는다. 공격 받은 TCP 모둘은 
일 반적 으로 몇분동안《절반 열린 접속》을 남긴다. 반복된 SYN 통보문은 
TCP 모둘을 방해할수 있 다. 

3. 이 장에서 배운것 에 기초하면 SSL 에서 수신자가 정상적 으로 도착한 SSL 레코드 

블로크들을 다시 주문할수 있는가? 만일 그렇 다면 어떻게 할수 있는가를 설명하 

시오. 그렇게 할수 없다면 왜 그런가? 
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제 4 편. 체계보안 


제15장. 침입자，비루스와 웜 


망체계에서 중요한 보안문제는 사용자들이나 쏘프트웨어에 의한 적의를 품은 침해 
혹은 적어도 원하지 않는 침해이다. 사용자침해는 권한이 부여되지 않은 콤퓨터에 가입 
하는 형태 혹은 권한을 가진 사용자인 경우에 자기의 권한을 벗어 나서 특권을 획득하거 
나 행동을 진행하는 형태로 나타날수 있다. 쏘프트웨어 침해는 비루스，월 혹은 트로이목 
마의 형태를 취할수 있다. 

이 모든 공격들은 망을 통해서 체계에 가입할수 있으므로 망보안과 관련된다. 그러 
나 이 공격들은 망에 기초한 공격 에만 머무르는것 이 아니 다. 국부말단까지 접근한 사용 
자는 중간망을 리용하지 않고 침해하려고 할수 있다. 비루스나 트로이목마는 디스크에 
의해 체계에 들어 갈수 있다. 월만은 독특한 망현상이다. 이렇게 체계침해문제는 망보안 
과 를퓨터보안 전반에 관계된다. 

이 책에서는 망보안이 기본이므로 공격이나 체계침해와 관련한 보안대응수단을 종합 
적으로 해석 하지 않는다. 그대 신 이 장에서는 이 문제들에 대 해 폭넓은 개괄을 준다. 

이 장에서는 먼저 침입에 대해서 고찰한다. 우선 공격의 본질，예방전략과 방어가 실 
패하는 경우 침입을 검출하기 위한 전략에 대해서 고찰한다. 다음으로 널리 알려 진 비 
루스문제를 고찰한다. 


15.1 침입자 


가장 널리 알려 진 보안에 대한 두가지 위협가운데서 하나는 침입자인메 (다른 하나 
는 비루스이다.) 일반적으로 해커나 크랙커를 의미한다. 자기의 중요한 첫 연구에서 엔 
더슨 (Anderson) 이 세가지 부류의 침입자들을 밝혀 냈다 [ANDE80]. 

• 가장자: 를퓨터를 리용할 권한은 없이 합법적인 사용자의 등록자리를 부당하게 
리 용하려 고 체계의 접 근조종에 침투하는 사람이 다. 

• 불법 행위 자: 접 근할 권한이 없는 자료, 프로그람，자원에 접근하거 나 이 런 접 근에 
대한 권한은 있지만 권한을 나쁜 목적으로 리용하는 합법적인 사용자이다. 

• 도용자: 체계의 감시조종을 잘 알고 검열과 접근조종을 피하거나 검열수집을 억 
제하기 위해 감시조종을 리용하는 개별적인 사람이다. 

가장자는 외 부침 입자이 고 불법 행 위자는 일 반적 으로 내 부침 입 자이 며 도용자는 외 부 
침입 자이든가 내부침입 자일수 있다. 

침입자의 공격범위는 가벼운 공격으로부터 엄중한 공격에 이르기까지 넓은 범위이 
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다. 가벼운 공격은 단순히 인터네트를 조사하고 거기에서 무엇인가를 찾아 보려고 하는 
것이고 엄중한 공격은 비밀자료를 읽고 거기에 비법적인 변경을 가하거나 체계를 파괴하 
려 는것 이 다. 

침 입 자의 위협은 특히 클리프 스롤 (Cliff Stoll) 이 기록한 유명한《음흉한 해커》 

( 《 Wily Hacker 》 ) 사 건 (1986-1987 년 ) 으 로 해 서 널 리 알 려 지 게 되 였 다 [STOL 
88, STOL 89]. 1990년에 콤퓨터 해커 들에 대 한 전반적 인 단속이 있었 다 [ STER 9 幻 . 그후 
많은 사람들이 이 문제는 이제는 해결되였으리라고 믿고 있었다. 

그러나 사실 이 문제는 해결되지 못하고 있다. 한가지 실례로서 벨 라브 (Bell Lab ) 
[ BELL 92， BELL 93] 의 그룹은 인터네트를 통해서 자기들의 를퓨터복합체가 오랜 기간 각 
이 한 곳으로부터 자주 공격 을 받았다고 발표하였 다. 그당시 벨 ( Bell ) 그룹에 서 는 다음과 
같은 일들이 벌어 지고 있었다. 

• 매 일 한번이상의 정도로 통과암호파일을 복사하려고 한다. 

• 의심스러운 원격수속호출 ( RP 必이 하루에 한번이상의 정도로 있다. 

• 적 어도 두 주에 한번씩 존재하지 않는《미끼》콤퓨터 에 접촉하려 고 한다. 

가벼운 침입자들에 대해서는 비록 그들이 자원을 소비하고 합법적인 사용자들의 운 
영 에 지 장을 줄지 라도 좀 참을수 있 다. 문제 는 침 입 이 가벼 운것 인 가，매 우 엄 중한것 인 가 
를 미리 아는 방도가 없다는것이다. 따라서 특별히 비밀이 아닌 자원을 가지고 있는 체 
계 일지라도 이 문제 를 취 급해 야 한다. 

텍사스 A & M 종합대학에서 일어 난 위협이 그 단적인 실례이다 [ SAFF 93]. 1992년 8 
월 에 이 대 학에 있는 콤퓨터 쎈 터 에 그곳 콤퓨터 들중 한대 가 인 터네 트를 통해 다른 지 역 
에 있는 콤퓨터를 공격하는데 리용되였다고 알려 왔다. 조사결과 콤퓨터쎈터의 연구사들 
은 각이한 외 부침 입자들이 있 다는것 을 알게 되 였 다. 그 침 입 자들은 각이한 콤퓨터 상에 서 
통과암호-크랙킹루린들을 실행하고 있었다(싸이트에는 모두 12000대의 콤퓨터들이 접속 
되 여 있 었 다) . 쎈 터 는 영 향을 받은 를퓨터 들을 분리하여 로출된 보안구멍 들을 막은 다음 
다시 정상조작을 시작하였다. 며칠후에 국부체계의 어느 한 관리자는 침입자의 공격이 
다시 시작되였다는것을 검출하였다. 그 공격은 생각했던것보다 훨씬 더 교묘하였다. 관 
리자는 안전하다고 생각하는 일부 주요 봉사기들에서 발견된 수백개의 로출된 통과암호 
들을 가진 파일들을 발견하였는데 그중에는 안전하리 라고 보았던 주봉사기안의 일부 파 
일들도 있었다. 게다가 한대의 국부콤퓨터는 해커들이 서로 접촉하여 기술과 개발과정을 
론의하군 하는 해 커 용의 게 시 판으로까지 리 용되 고 있 었 다. 

이 공격에 대한 분석으로부터 실제로는 두개의 해커준위가 존재한다는것이 밝혀 졌 
다. 높은 준위 는 기 술을 완전히 정 통한 교묘한 사용자였 고 낮은 준위 는 크랙 킹프로그람 
들이 어떻게 동작하는가는 거의나 모르면서 제공된 그대 로 사용만 하군 하는《풋내기》 
였 다. 이 협 동동작은 침 입 자무기 고에 있는 두가지 엄 중한 무기 즉 침 입방법 에 대 한 고급 
한 지 식과 약점 을 철저 히 조사하기 위해 많은 시 간을 바치 려 는 의지 가 결합되 게 하였다. 

침 입 자문제 의 중요성 에 대 한 각성 이 높아 진 결과 콤퓨터 비상대 책림 ( CERT ) 들이 창 
설되였다. 이 협력기관들은 체계의 약점에 대한 정보를 수집하고 그것을 체계관리자에게 
알려 주었다. 공교롭게도 해커들은 CERT 의 보고문을 얻을수 있었다. 텍사스 A & M 사건 
에 대한 이후의 분석은 해커들이 CERT 가 발표하였던 거의 모든 약점들에 대해서 바로 
공격된 콤퓨터들을 시험해 볼수 있는 프로그람을 개발하였다는것을 보여 주었다. 한대의 
콤퓨터라도 CERT 의 권고에 따라 즉시 대책을 세우지 못했더라면 이와 같은 공격에 넓 
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은 길을 열어 주었을것이다. 

통과암호크랙 킹 프로그람을 실행 하는것외 에 침입 자들은 체계 에 가입 하고 있는 사용자 
들의 통과암호를 발견하기 위해 가입쏘프트웨 어를 변경 하려고 시도하였다. 이 과정 에 해 
커들은 매우 위험한 통과암호들의 특징적인 모임을 만들수 있게 되였는데 그것을 피해자 
들의 콤퓨터들중 한 콤퓨터상에 설정된 게시판에서 리용할수 있게 되였다. 

이 절에서는 먼저 침입기술에 대하여 고찰하고 다음 침입을 예방하는 방법들을 고찰 
한다. 예방에서 실패하면 방어의 두번째 선은 침입검출인데 이것은 마지막부분에서 론의 
한다. 

침입기술 

침입자의 목표는 체계에 접근할 자격을 얻거나 체계에 접근할수 있는 특권범위를 넓 
히는것 이 다. 그러 자면 일반적 으로 침 입 자가 보호되 여 야 할 정 보를 입수해 야 한다. 대부분 
의 경우에 이 정보는 사용자의 통과암호형태 로 나타난다. 어떤 다른 통과암호를 알면 침 
입자는 그 체계에 가입할수 있으며 합법적인 사용자와 같이 모든 특권을 행사할수 있다. 

일반적으로 체계에는 권한이 있는 매 사용자가 가지고 있는 통과암호와 관련한 파일 
을 보존되 여 있다. 이 런 파일 이 보호없이 보관되여 있으면 해커들이 그것에 접근하여 통 
과암호를 쉽게 알수 있다. 통과암호파일은 다음의 두 방법 가운데 한가지 방법 으로 보호 
할수 있다. 

• 한방향암호화:체계는 사용자의 통과암호를 암호화된 형태로만 기억한다. 사용자 
가 통과암호를 제출하면 체계는 그것을 암호화하여 기억된 값과 비교한다. 실천 
에서 체계는 보통 암호화함수에 대한 열쇠를 생성하는데 통과암호가 리용되고 
고정길이의 출력이 생성되는 한방향변환을 진행한다. 

• 접근조종:통과암호파일에로의 접근은 하나 혹은 몇개의 등록자리로 제한된다. 

이것들중 한개 혹은 두개의 대응수단을 가지게 되면 침입자가 통과암호를 알아 내 
는데 일정한 품이 들게 된다. 많은 문헌들과 통과암호크랙커들과의 인터뷰자료에 대한 
조사에 기 초하예 ALVA 90] 통과암호를 배 우는 다음의 방법 들을 소개한다. 

체계에 들어 있는 표준등록자리로서 리용되는 음적통과암호를 조작해 보시오. 많은 
관리자들은 이 음적통과암호를 변화시키 려고 하지 않는다. 

1. 짧은 통과암호를 모두 입력시켜 보시오(한개부터 세개의 문자까지). 

2. 체계의 직결식사전이나 적절한 통과암호목록에 있는 단어를 입력시켜 보시오. 
후자의 실례들은 해커게시판상에서 쉽게 볼수 있다. 

3. 사용자들의 완전한 이 름，그들의 안해 와 아이들의 이 름，사무실에 걸 려 있는 그림 
들，그들의 취미 와 관련되는 책 등과 갈은 사용자들에 대 한 정보를 수집 해 보시 오. 

4. 사용자의 전화번호，사회 적 인 보안번호，방번호를 입 력 시 켜 보시 오. 

5. 이 상태에 대한 모든 합법적인 허가번호를 입력시켜 보시오. 

6. 15. 2절 에 서 설 명하는 접 근에 대 한 제 한을 우회하는 트로이 목마를 리 용해 보시 오. 

7. 원격 사용자와 가입 자체 계 사이 의 선을 도청해 보시 오. 

처 음의 6가지 방법 은 통과암호를 추측하기 위한 각이한 방법 이 다. 침 입 자가 가입 을 
시 도하면서 검 증해 보아야 한다면 그것 은 지 루하면서 도 쉽 게 부닥칠수 있는 공격방법 이 
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다. 실례를 들어 체계는 통과암호가 세번 입력된 다음에는 그 어떤 가입도 거부하므로 
가입자에 다시 접속하려는 침입자는 다시 한번 입력시켜 보아야 한다. 이러한 상태에서 
통과암호를 더 이상 입력시켜 보는것은 다문 몇개라도 통과암호를 가지는것보다 실천성 이 
없다. 그러므로 침입자가 이와 같은 방법을 그대로 리용하는것은 적합하지 않다. 례를 
들어 침입자가 암호화된 통과암호파일에 낮은 특권준위로 접근할수 있다면 침입계획은 
이 파일을 포착한 다음 더 높은 특권을 제공하는 옳은 통과암호를 발견할 때까지 천천히 
이 체계의 개개의 암호기구를 리용하는것이다. 

추측공격 이 실현가능하고 많은 추측회수가 자동적 으로 시도될수 있으며 추측공정 자 
체가 검출됨이 없이 매 추측을 검증할수 있을 때 실지로 이것은 매우 효과적이다. 이 절 
의 마지막에 추측공격을 막는 방법에 대하여 본다. 

앞에서 설명한 7번째 공격방법 즉 트로이목마는 막기 가 특히 힘들수 있다. 우회 접근 
조종실 례프로그람은 [ ALVA 9()] 에 소개되 여 있 다. 낮은 준위 특권사용자는 오락프로그 
탐을 만들고 체계조작자에게 그것을 여가시간에 리용하도록 권고한다. 프로그람은 실지 
오락기능을 수행하지만 그 배경에는 역시 암호화되 여 있지 않으나 접근은 보호되여 있는 
통과암호파일을 사용자파일에 복사하는 부호가 포함되 여 있다. 오락은 조작자의 높은 특 
권준위방식 에서 실행되므로 통과암호파일에 대 한 접근을 얻을수 있다. 

8번째 공격 즉 선로도청 은 물리적 인 보안문제이 다. 이때 5. 1절에서 론의된 련결 암 
호화기술문제와 부닥칠수 있다. 

이제는 두가지 중요한 대응수단 즉 예방과 검출의 론의에로 돌아 가자. 예방은 매력 
적 인 보안목표이며 항상 힘들다. 방어자는 모든 가능한 공격을 막아야 하므로 힘들지만 
공격 자는 방어 고리 에 서 가장 약한 고리 를 찾아 이 점 에 공격하므로 쉽다. 검 출은 공격 에 
대하여 아는것이며 그것이 성공한 후이든가 전에 진행된다. 

■과암호보호 

침입자를 막는 방어의 전초선은 통과암호체계이다. 대부분 모든 다중사용자체계는 
사용자의 이름이나 식별자 ( ID ) 뿐아니 라 통과암호도 제공할것을 요구한다. 통과암호는 
체계 에 개 별적 으로 가입하는 ID 를 인증하는데 봉사한다. ID 는 다음의 방법 으로 보안을 
제공한다. 

• ID 는 사용자가 체계에 접근할수 있는 권한을 가지고 있는가를 결정한다. 일부 체 
계에서는 체계의 파일에 있는 ID 를 가지고 있는 사람만이 접근을 할수 있게 한다. 

• ID 는 사용자에 게 부여 된 특권을 결정한다. 일부 사용자들은 감독이 거 나 파일 을 
읽을수있는《슈퍼사용자》이여야 하며 조작체계에 의해서 특별히 보호된 기능 
을 실 행한다. 일 부 체 계 들은 손님 용 혹은 밝혀 지 지 않은 등록자리 를 가지 고 있 
으며 이 등록자리의 사용자들은 다른 사용자들보다 더 제한된 특권을 가진다. 

• ID 는 자위적접근조종을 하는데 리용된다. 례를 들어 다른 사용자의 ID 를 렬거하는 
것으로 사용자는 그 사용자가 소유하고 있는 파일들을 읽을수 있는 허락을 받을수 
있 다. 


통과암호의 약점 

공격의 본질을 리해 하기 위해서 UNIX 체 계 에서 널 리 리용되 는 도식 을 생 각해 보자. 
이 체계에서 통과암호들은 절대로 명백한 형태로 보관되지 않는데 다음과 같은 절차를 
쓰고 있다(그림 15-1 의 1) .매 사용자는 기호의 길이가 8까지인 통과암호를 선택한다. 
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통과암호의 암호문은 쏠트를 복사한 평문과 함께 사용자의 식별자에 대응하는 통과 
암호파일에 기억시킨다. 

쏠트는 다음의 세가지 목적으로 쓰인다. 

• 그것은 통과암호파일에 나타나는 통과암호들이 중복되지 않게 한다. 두 사용자 
가 같은 통과암호를 선택하였다 하더 라도 이 통과암호들은 다른 시간에 할당되 
였을것 이 다. 그러므로 두 사용자의 《확장된》통과암호는 서로 다른것 이 다. 

• 그것은 사용자가 두개의 추가적인 기호렬들을 기억할 필요가 없이도 통과암호의 
길이를 효과적으로 증가시킨다. 그러므로 가능한 통과암호의 수는 4096의 인수 
로 늘어 나며 동시 에 통과암호를 추측하는것도 더 어 려워 진다. 

• 그것은 힘든 란폭공격을 쉽게 할수 있는 DES 의 하드웨어실현을 리용하지 못하 
게 한다. 

사용자는 UNIX 체 계 에 가입하려 고 할 때 식 별 자와 통과암호를 제 공한다. 조작체 계 
는 사용자의 식별자를 리용하여 통과암호파일을 색인하며 암호화루린의 입력으로 리용되 
는 평문쏠트와 암호화된 통과암호를 돌려 준다. 결과가 기 억된 값과 갈으면 통과암호는 
접 수된 다 . 

암호루린은 추측공격 을 막을수 있도륵 설 계한다. DES 로 작성된 쏘프트웨어 는 하드 
웨 어 관본에 비해 느리 며 25번의 반복리용은 요구되 는 시 간을 25배 로 되 게 한다. 그러 나 
이 알고리듬의 초기설계로부터 두가지 변화가 일어 난다. 첫째로, 알고리듬을 더 새롭게 
실 현 한것 은 속도를 더 빠르게 하는 결 과를 가져 온다. 례 를 들어 인 터네 트월 은 공격한 
UNIX 체 계 에 기 억된 규격보다 더 효률적 인 암호알고리 듬을 리용하여 매 우 짧은 시 간에 
수백개 의 통과암호에 대 한 직 결식 통과암호추측을 할수 있 다. 둘째 로，하드웨 어의 효률이 
계속 높아 짐 에 따라 임의의 쏘프트웨 어알고리듬을 더 빨리 실행할수 있다. 

따라서 UNIX 의 통과암호도식 에는 두가지 위협 이 존재한다. 첫째 로，사용자는 림시 
적 인 등록자리를 리용하거 나 어떤 다른 수단으로써 를퓨터 에 대 한 접근권한을 얻은 다음 
그 콤퓨터 에 서 통과암호크랙 커라고 부르는 통과암호를 추측하는 프로그람을 실 행할수 있 
다. 공격 자는 적 은 자원을 소비하면서 수백 혹은 수천개 의 가능한 통과암호를 검 사하여 
야 할것이다. 게다가 공격자가 통과암호파일의 복사를 얻을수 있으면 크랙커프로그람을 
여유 있게 다른 콤퓨터우에서 실행할수 있다. 이것은 공격자가 적당한 기간에 수천개의 
가능한 통과암호들을 실 행할수 있게 한다. 

례 로서 통과암호크랙 커 는 1993년 8월 [ MADS 93] 에 인 터네 트에 서 나타났다. 사고하 
는 를퓨터 회 사 (Thinking Machines Corporation ) 의 병 렬 롬퓨터 를 리 용하면 1초에 벡 토 
르단위 당 1560번의 암호화를 진행할수 있 다. 처 리 마디 당 4개 의 백 토르를 단위 로 가지 는 
경우 128-마디콤퓨터에서는 초당 80만번의 암호화를 진행할수 있으며 1024마디를 가지는 
콤퓨터 에서는 초당 640만번의 암호화를 진행할수 있다. 

이렇게 추측률은 높지만 아직은 공격자가 통과암호를 발견하기 위해 기호들의 가능 
한 모든 조합을 해보는 우둔하고 힘내기공격방법에 의거할 정도는 아니다. 그대신 통과 
암호크랙커들은 일부 사람들이 쉽게 추측할수 있는 통과암호를 선택한다는 사실에 기대 
를 건다. 

일부 사용자들은 자기 의 통과암호를 선택 할 때 무의 미하게 짧은것 을 선택 한다. 퍼 듀 
( Purdue ) 종합대학에서 연구한 결과를 표 15-1 에 보여 주었다. 연구에서는 약 7000명의 
사용자들의 등록자리 가 나타나는 54대의 콤퓨터 에서 통과암호를 선택할 때 일어 나는 변 
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화들을 관찰하였다. 통과암호의 거의 3%는 길이가 3문자이하의 문자렬이였다. 공격자는 
길이가 3이거나 이보다 작은 모든 통과암호들을 모조리 검사하는 방법으로 공격해 볼수 
있다. 이와 갈은 공격을 방어하는 간단한 방법은 체계 가 6문자이하의 통과암호를 선택하 
는것을 거부하거나 심지어 모든 통과암호의 길이가 정확히 8문자이도록 요구하는것이다. 
대부분의 사용자들은 이 런 제한에 대하여 불만을 가지지 않을것 이 다. 

표 15-1. 관측된 통과암호길 이 [ SPAF 92 n ] 


길이 

개수 

비 률 

1 

55 

.004 

2 

87 

.006 

3 

212 

.02 

4 

449 

.03 

5 

1260 

.09 

6 

3035 

.22 

7 

2917 

.21 

8 

5772 

.42 

계 

13787 

1.0 


통과암호의 길이는 보안문제의 일부분일뿐이 다. 많은 사람들은 통과암호를 선택할 
때 자신의 이름，자신이 살고 있는 거 리이름,보통 쓰는 사전의 단어 등과 같이 추측할수 
있는 통과암호를 선택 한다. 이것은 쉽게 통과암호를 파괴할수 있게 한다. 크랙커 는 통과 
암호일수 있는 목록에 대해서 통과암호파일을 단순히 검사만 하면 될수 있다. 많은 사람 
들이 추측할수 있는 통과암호를 리용하므로 이런 방법은 사실상 거의 모든 체계에서 성 
공할것 이 다. 

추측의 효과성에 대한 한가지 실례가 참고문헌 [ KLEI 9()] 에 제시되였다. 저자는 각 
이한 출처로부터 약 14000개의 암호화된 통과암호들이 들어 있는 UNIX 의 통과암호파일 
들을 수집하였 다. 저 자가 정 확히 위 협 으로 특징 지 은 결과를 표 15-2 에 보여 주었 다. 통 
과암호의 거의 4분의 1가량이 추측되였다. 다음과 갈은 추측전략을 리용하였다. 

1. 사용자의 이 름，아명，등록자리이 름，기 타 관련 이 있는 개 인정 보를 입 력 시 켜 본다. 
매 사용자에 대 해서 모두 130개의 각이한 조합을 입 력 시 켜 보았다. 

2. 각이한 사전들의 단어 를 입 력 시 켜 본다. 저 자는 체 계 자체 의 직 결식 사전과 표에 
보여 준 기타 여러 목록들을 비롯하여 6만개이상의 단어를 를파일하였다. 

3. 우의 단계 2에 서 엄 은 단어 들에 대 한 각이한 조합을 입 력 시 켜 본다. 이 조합에 
는 첫 번째 문자가 대 문자이 거 나 조종기호인것，전체 단어 가 대 문자인것，거 꾸로 
쓴 단어，문자《0》을 수자《0》으로 변화시킨것 등이 속한다. 이 조합은 입력 
시켜 야 할 목록에 새 로 100만개의 단어를 추가한다. 

4. 단계 3에 서 고려 되 지 않은 단계 2의 단어 들에 대 한 각이한 대 문자조합을 입 력 시 
켜 본다. 이것은 목록에 거의 200만개의 단어를 더 추가한다. 
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이 렇게 약 300만개의 단어 를 검사해 야 한다. 앞에서 설명한 고속의 

- 리용하면 가능한 모든 쏠트값에 대해서 이 모든 단어들을 암호화하 

- 1시 간이하이 다. 이와 갈은 완전탐색은 약 25%의 비률로 성공할수 있 
오. 그러나 단번에 체계의 넓은 령역에 대한 특권을 충분히 엄을수도 

접근조종 

통과암호에 대한 공격을 막는 한가지 방법은 통과암호파일에 대 
부하는것 이 다. 암호화된 통과암호파일의 구역 에 특권사용자만이 접근 

- 특권사용자의 통과암호를 미리 알지 못하고서는 그것을 읽을수 







른 가입대화용의 등록자리들을 리 용하기 위 하여 통과암호들을 수집 하려 할수 있 
다. 또한 등록자리를 가진 사용자는 특권자료에 접근하거나 체계를 파괴하기 위 
해 다른 사용자의 등록자리를 가지 려고 할수 있다. 

• 보호사고는 통과암호파일을 읽을수 있게 함으로써 모든 등록자리들을 위태롭게 
한다. 

• 어떤 사용자들은 다른 를퓨터상의 보호령역에 등록자리를 가지고 같은 통과암호 
를 리용할수 있다. 그러므로 어느 한대의 콤퓨터에서 그 누군가가 통과암호를 
읽을수 있으면 다른 곳에 있는 콤퓨터는 위태롭게 될수 있다. 

따라서 보다 효과적 인 전략은 사용자가 추측하기 힘든 통과암호를 선택하는것이다. 

틍과암호선택전략 

표 15-1 과 표 15-2 에 서술한 두 실험의 결과는 많은 사용자들이 너무 짧거나 쉽게 
추측할수 있는 통과암호를 선택 한다는것 이 다. 기껏해서 통과암호로서 사용자들이 눈으로 
볼수 있는 8개의 기호들을 란수적으로 선택한다면 통과암호를 효과적으로 크랙킹할수 없 
다. 그러나 이때 대부분의 사용자들이 자기들의 통과암호를 기 억하는것은 거의 불가능할 
것 이 다. 기 억할수 있는 적 당한 기 호렬들로 통과암호의 령역을 제 한한다고 해도 다행 히도 
이 령역의 규모는 실제 적 으로 크랙 킹하기 에 는 매우 크다. 이때 목표는 사용자가 기 억 할 
수 있는 통과암호를 선택할 때 추측할수 있는 통과암호를 제거하는것 이 다. 

다음의 4가지 기본방법이 리용되고 있다. 

• 사용자교육 

• 콤퓨터로 생성된 통과암호 

• 통과암호의 역검사 

• 밀기식통과암호의 검사 


사용자교육전략은 사용자들에게 추측이 힘든 통과암호를 리용하는것이 가지는 중요 
성을 강조하며 강한 통과암호를 선택하기 위한 지침을 주는것이다. 이러한 전략은 특별 
히 사용자수가 많으며 사용자들이 자주 변화될 때는 적합하지 않을수 있다. 많은 사용자 
들은 이 지 침을 단순히 무시할것 이 다. 또 어떤 사람들은 어 느것 이 강한 통과암호이라는 
것을 잘 판단 못할수 있다. 례를 들어 많은 사용자들은 단어를 반대로 쓰거나 마지막문 
자를 대문자로 쓰면 통과암호를 추측할수 없을것 이 라고 잘못 생각하고 있다. 

롬퓨터 로 생성된 통과암호들도 문제 가 있다. 통과암호가 진짜 완전한 우연수이라면 
사용자들은 그것 을 기 억할수 없을것 이 다. 통과암호가 만들어 졌 다 해 도 사용자가 그것 을 
기억하기 어렵고 적을 때 혼돈될수 있다. 일반적으로 사용자는 콤퓨터로 생성된 통과암 
호도식을 잘 리용하지 않는다. FIPS PUB 181에서는 잘 설계된 통과암호자동생성기를 
정의 하고 있다. 표준생성기 는 방식의 설명서 뿐아니 라 알고리 듬을 C 언어 로 작성한 원천 
부호의 완전한 목록도 가지고 있다. 알고리듬은 읽을수 있는 말마디들을 만들고 그것들 
을 단어 가 되도록 련결함으로써 단어를 생성한다. 란수생성기는 말마디들과 단어들을 조 
립하여 우연적 인 기 호렬 을 만든다. 

막기식통과암호검사전략은 체계 가 추측될수 있는 통과암호를 찾아 내 기 위해 자기 
의 통과암호크랙커를 정기적으로 실행시키는 전략이다. 체계가 추측되여 사용자에게 통 
지된 통과암호들은 모두 제거된다. 이 전술에는 몇가지 결함들이 있다. 첫째로, 일감을 
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정 확히 수행 하려 면 자원을 집 중적 으로 소비 한다는것 이 다. 통과암호파일 을 훔칠수 있는 
단호한 적 수가 몇 시 간 지 어 며 칠동안 통과암호를 추측하기 위해 CPU 시 간을 완전히 소 
비 할수 있기때문에 효과적 인 막기 식통과암호검사자도 명백히 불리 하다. 더우기 체계에 
존재 하는 임의 의 통과암호들은 막기 식 통과암호검사자가 그것 을 검사하기전에 는 약한 통 
과암호로 남아 있다. 

밀기식통과암호검사전략은 통과암호의 보안을 개선하는 가장 전망적 인 방식 이 다. 
이 방식에서는 사용자자신이 통과암호를 선택하게 한다. 그러나 선택할 때에 체계는 통 
과암호가 허용되는가를 검사하고 허용되지 않으면 그것을 거부한다. 이와 같은 검사는 
체계로부터 충분한 지도를 받으며 사전식공격으로 추측할수 없는 매우 큰 통과암호공간 
으로부터 사용자들이 기억할수 있는 통과암호를 선택할수 있다는 원리에 기초하고 있다. 

밀기 식통과암호검 사전략은 사용자의 허 용성 과 강도사이 의 균형 을 맞추는것 이 다. 체 
계가 너무 많은 통과암호들을 거부하면 사용자들은 통과암호를 선택하기가 너무 힘들다 
고 불평할것이다. 체계가 허용할수 있는 통과암호를 정의하는 어떤 단순한 알고리듬을 
리 용하면 이것은 통과암호크랙커들에 게 추측기술을 세 련시 킬수 있는 방법을 제공한다. 
아래 에서 밀기 식통과암호를 검 사하는 방식들을 고찰하자. 

첫번째 방식은 규칙을 실시하는 단순한 체계를 리용하는 방식이다. 례를 들어 다음 
의 규칙을 실시할수 있다. 

• 모든 통과암호들은 적어도 8문자길이여야 한다. 

• 통과암호들의 첫 8개의 문자들중에는 적어도 하나의 대문자나 소문자，수자와 구 
두점기 호가 포함되 여 야 한다. 

이러한 규칙들에는 사용자에 대한 충고가 결합될수 있다. 이 방식은 단순히 사용자 
를 교육하는데서는 우월하지만 통과암호크랙커를 막는데는 불충분할수 있다. 이 방식은 
크랙커들에게 어떤 통과암호에 대해서는 크랙킹하지 말것을 경고하지만 통과암호를 크랙 
킹할수 있는 가능성 은 여 전히 있 다. 

또 다른 한가지 방식 은 가능한《 나른》통과암호들로 이 루어 진 큰 사전을 편집하 
는것 이 다. 사용자가 통과암호를 선택할 때 체 계는 그것 이 허용되지 않는 목록에 없는가 
를 확인하기 위해 통과암호를 검 사한다. 이 방식 에 는 두가지 문제 가 있 다. 

• 공간:이 방식 이 효과적 이 기 위 해서 는 사전이 매 우 커 야 한다. 례 를 들어 퍼듀 
( Purdue ) 의 연 구 에 서 리 용 한 사 전 은 30 MB 이 상 의 기 억 공 간 을 차 지 한 다 
[ SPAF 92 a ]). 

• 시간:큰 사전을 탐색하는데 요구되는 시간은 길다. 게 다가 사전단어들의 적당한 
치환에 대해 검사하기 위해서는 이 단어들의 대부분이 사전에 포함되므로 실로 
큰 사전을 만들든가 혹은 매 탐색은 많은 처리를 필요로 하게 된다. 

약속된 목록의 단어들을 제거하는 방식에 기초한 효과적이고 능률적인 밀기식통과암 
호검사자를 개발하는데는 두가지 기술이 있다. 하나는 추측할수 있는 통과암호들을 생성 
하는 마르꼬브모형을 개 발하는것 이 다 [ DAVI 93]. 그림 15-2 에 이와 같은 모형을 간단히 제 
시하였다. 이 모형은 3문자자모로 이루어 진 언어로 표시된다. 어떤 순간에 체계의 상태 
는 가장 최근의 문자와 일치한다. 한 상태로부터 다른 상태에 로의 이행값은 어떤 문자가 
다른 문자로 될 확률이 다. 따라서 현재 문자가 a 일 때 다음 문자가 b 일 확률은 0.5 이 다. 
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마르꼬브모형의 결과는 사전에 있는 단어들의 구조를 반영 하는 모형 이 다. 이 모형 에 
서 질문《이것은 나쁜 단어인가?》는 질문《이 문자렬(통과암호)은 이 마르꼬브모형에 
의해 생성되였는가?》로 변환된다. 주어 진 통과암호에 대한 모든 세 글자조의 이행확률 
을 찾을수 있다. 통과암호가 이 모형에 적합한가 적합하지 않은가를 결정하는데 일부 표 
준통계적검사들을 리용할수 있다. 모형에 의해서 생성될수 있는 통과암호들은 거절된다. 

2차모형 을 리용하면 좋은 결과들을 얻 을수 있다. 이 모형들을 리용한 체 계는 사전에서 
사실상 모든 통과암호들을 발견하며 따라서 사용자친숙형이 아닌 적지 않은 좋은 통과암 
호들도 배 제하지 않는다. 

스패 호드 ( Spafford ) (참고문헌 [ SPAF 92 a ， SPAF 92 b ]) 가 제 안한 다른 방식 도 있 다. 
이것은 블름 ( Bloom ) 려과기 (참고문헌 [ BLOO 70]) 를 리용하는데 기초하고 있다. 먼저 블 
름려과기의 조작을 설명하자. 오차블름려과기는 소개의 독립적인 하쉬함수 H 1 ( x ), H 2 (x), 
…， H ^ x ) 의 모임으로 이루어 진다. 여기서 매 함수는 통과암호를 0부터 ( N -1) 구간의 
하쉬값으로 넘기는 함수이다. 즉 

( Xp=y 1 < / < it ； 1 <j < D ； 1 < y < N ~1 

여기서 

X ; :통과암호사전에서 )번째 단어 
D : 통과암호사전에서 단어의 수 

다음의 절차를 사전에 적용한다. 

1. "개 비 트들의 하쉬 표의 모든 비 트들을 초기 에 0으로 설정한다. 

2. 매 동파암호에 대 해 소개 의 하쉬 값을 계 산하여 하쉬 표에 서 대 응하는 비 트를 1로 
설정한다. 실례 로 어 떤 ( ij _) 에 대 하여 H ,+ ( xp =67 이 면 하쉬표의 67번째 비 트는 
1로 설정된다. 비트가 이미 값 1로 설정되여 있으면 그대로 한다. 

새 로운 통과암호가 검 사자에 게 제 출되 면 그것 의 소개 의 하쉬값을 계 산한다. 만일 하 
쉬표에서 대 응하는 모든 비 트들이 1이 면 통과암호는 거 부된다. 이 때 사전에 있는 모든 
통과암호들이 거부될수도 있다. 그러나 여기에는 일부《잘못된 긍정》으로 된것들이 있 
을수 있다(이것은 사전에 는 없지 만 하쉬표에서 배 후자를 선택한다). 이 것을 보기 위해 
두개 의 하쉬 함수를 가지 는 도식 을 생 각한다. 통파암호 unde 代 aker 오]， hulkhogan 은 사전에 
있지 만 ; cG %%；/_98 은 없 다고 가정 한다. 또한 

H ! ( undertaker ) = 25 H ! ( hulkhogan ) = 83 U 1 ( xG %# jj 98) = 665 

H 2 ( undertaker ) = 998 H 2 ( hulkhogan ) = 665 H 2 ( xG %# jj 98) = 998 

이 라고 가정한다. 

통과암호 xG %# jj 98 이 체계에 제출되면 비록 그것이 사전에 없다고 할지라도 거부될 
것이다. 이러한 잘못된 긍정들이 너무 많으면 사용자가 통과암호를 선택하기가 힘들것이 
다. 따라서 잘못된 긍정 이 최 소로 되 는 하쉬 도식 을 설 계하는것 이 좋다. 
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침입검출 

아무리 훌륭한 침입방어체계라도 실수할수 있다. 체계의 두번째 방어선은 침입검출 
토서 최근에 많은 연구들에서 초점으로 되고 있다. 

그 리유를 보면 다음과 같다. 

1. 침입을 즉시 검출하였다면 어떤 피해를 받거나 자료가 손상되기전에 침입자를 
확인하여 체계에서 제거할수 있다. 침입자를 앞질러 충분히 제때에 검출하지 못 
한다 해도 침입을 더 빨리 검출하면 할수록 손해량은 더 적으며 더 빨리 회복할 
수 있 다. 

2. 효과적인 침입검출체계는 침입을 막는 방어와 같이 봉사할수도 있다. 

3. 침 입검출은 침 입방어를 강화하는데 리용할수 있는 침 입기술에 대 한 정보를 수집 
할수 있게 한다. 

침 입 검 출은 정 량적방법 에 서 침 입 자의 행 동이 합법 적 인 사용자의 행 동과는 차이난다 
는 가정에 기초하고 있다. 물론 침입자의 공격과 합법적 인 사용자의 표준적 인 자원리용 
사이에 뚜렷하고 정확한 차이가 있을수 있다고 기대하기는곤난하다. 오히 려 공통성 이 있 
을수 있다고 보아야 한다. 

그림 15-4 는 침 입검 출체 계의 설계 자에게 과제의 본질을 매우 추상적 으로 암시해 준다. 
침입자의 일반적 인 행동이 합법적 인 사용자의 일반적 인 행동과 다르다 하더 라도 이 행동 
들에는 일치되는것이 있다. 따라서 더 많은 침입자들을 발견할수 있는 침입자의 행동에 
대 한 애매 한 해석 은《 잘못된 긍정》이 많아 지 게 즉 합법 적 인 사용자들을 침 입 자로 보 
게 할수도 있다. 다른 한편 침입자의 행동에 대한 잘 째인 해석으로 잘못된 긍정을 제한 
하는것은《 잘못된 부정》을 증가하게 한다. 즉 침 입 자를 침 입 자로 보지 않게 할수 있 
다. 따라서 침입을 검출하는 실천에서는 타협과 숙련의 두 요소가 필요하다. 
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그림 15-4. 침입자와 권한이 있는 사용자의 행동의 륜곽 



앤더슨 ( Anderson ) 의 연구(참고문헌 [ ANDE 80]) 에서는 누구든 정 당한 근거를 가지 
고 가장자와 합법적 인 사용자를 구별할수 있다고 가정 하였다. 합법적 인 사용자의 행동에 
대한 패턴은 과거의 리력을 관찰함으로써 확립할수 있으며 이런 패턴들사이의 유효편차 
는 검출할수 있다. 엔더슨은 정상적인 행동과 비정상적인 행동의 차이는 작을수 있으므 
로 불법 행위 자(권한을 부여 되지 않은 방식 에서 행동하는 합법적 인 사용자)를 검출하는 
과제가 더 힘들다는것을 제의하였다. 앤더슨은 이런 침입은 단순히 례외적인 행동에 대 
한 람색을 통해서는 검출할수 없다고 결론하였다. 그럼 에도 불구하고 권한이 없이 리용 
하는 행동을 나타내는 조건클라스에 대한 지적인 정의에 의해 불법행위자의 행동을 검출 
할수 있다. 결국 도용자의 검출은 순수한 자동화기술의 범위를 벗어 나게 되였다. 1980 
년에 진행된 이러한 관찰들은 오늘날 사실로 되였다. 

참고문헌 [ PORR 9 幻에서는 침 입검출에 대 한 다음의 방식을 확인하였다. 

1. 통계적인 비정상검출: 합법적 인 사용자의 한주기동안의 행동과 관련한 자료를 
수집한다. 다음 합법적인 사용자의 행동이 아닌가를 높은 정확도로 결정하기 위 
해 관찰되는 행동에 통계적검사들을 적용한다. 

1) 한계 검 출: 이 방식 은 각이한 사건발생의 빈도수에 대 한 한계 즉 사용자의 독 
립성의 정의를 포함한다. 

L ) 륜곽에 기초한것 :개 별적 인 등록자리들의 행동변화를 검출하기 위해 매 사용 
자의 활동륜곽을 개발하고 리용한다. 

2. 규칙 에 기 초한 검 출:주어 진 행 동이 침 입 자의 행 동이 라는것 을 결정하는데 리용 
할수 있는 규칙 들의 모임 을 정 의하는 방식 이 다. 

1) 비정상검출:이전에 사용한 패턴으로부터의 편차를 검출하기 위한 규칙들을 
개 발한다. 

L ) 침입식 별 :의심스러운 행동을 람색하는 전문가체계방식 이 다. 

한마디 로 말하여 통계 적방식 은 정 상이 거 나 기 대하는 행 동을 정 의하려 고 하는것 이 고 
규칙 에 기 초한 방식 은 고유한 행 동을 정 의하려 고 하는 방식 이 다. 

앞부분에서 서술한 공격 자들의 류형들중 통계적 인 비정상검출은 등록자리의 고유한 
행동패 턴을 위조하지 않는 가장자에 대 하여 효과적 이 다. 다른 한편 이 런 기술로는 불법 
행위자에 대해서 론의할수 없다. 이런 공격에 대하여서는 규칙에 기초한 방식이 침입을 
밝히는 사건과 렬들을 식별할수 있다. 실지로 체계에서는 일반적인 공격에 대하여 효과 
성 을 높이 기 위 해 두 방식 을 결 합할수 있다. 

검열기록 

침입을 검출하는 기본도구는 검열기록이다. 활동중에 있는 어떤 기록은 침입검출체 
계의 입력자료로서 사용자에 의해 보존되여야 한다. 기본적으로 두가지 계획을 리용한다. 

• 가공하지 않은 검 열 기 록 :실제 상 모든 다중사용자조작체 계 는 사용자의 활동에 대 
한 정 보를 수집하는 등록자리 쏘프트웨어 를 포함한다. 이 정 보를 리용하는 우점 
은 보충적 인 수집쏘프트웨어 가 필요 없 다는것 이 다. 결 함은 가공하지 않은 검 열 
기록이 필요한 정보를 가지고 있지 않거나 혹은 편리한 형태로 가지고 있지 못 
할수도 있다는것이다. 

• 검출용검열기록:수집기구는 침입검출체계가 요구하는 정보만을 포함하는 검열기 
록들을 생 성할수 있다. 이 런 방식 의 한가지 우점 은 판매 자에 게 무관계하며 각이 
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한 종류의 체계에 입력할수 있다는것이다. 결함은 보건대 체계에서 실행되는 두 
개 의 등록자리 쏘프트웨 어 를 가지 는데 드는 간접 비 용이 있 다는것 이 다. 

검출용검열 기록의 좋은 실례로는 도로 리 덴닝 ( DorotyDenning ) (참고문헌 
[ DENN 87]) 이 개발한것을 들수 있다. 매 검열기록는 다음의 마당을 포함한다. 

• 주동체 : 작용의 초기자이다. 주동체는 일반적으로 말단사용자나 사용자그룹을 
대신하여 작용하는 처 리공정 이 될수도 있다. 모든 활동은 주동체가 일으키는 지 
령 을 통해 발생한다. 주동체 들은 서 로 다른 접 근클라스들로 그룹화될 수 있 으며 
이 클라스들은 겹칠수 있 다. 

• 작용: 조작은 주동체 나 대상에 의해 수행된다. 례를 들어 가입，읽기， I / O 수행，실 
ᄒ J ᄋ】 다' 

• 객체 : 작용의 접수자이다. 실례 를 들어 파일，프로그람，통보문，기 록，말단， 
인쇄기，사용자 혹은 프로그람창조도구 등이다. 주동체는 전자우편과 같이 작용 
을 접 수한 다음 대 상을 고려한다. 대 상은 형 에 따라 그룹화될 수 있다. 대 상은 
대상형이나 환경에 따라 변화될수 있다. 례를 들어 자료기지의 작용들은 전체 
혹은 기록준위에서 자료기지를 검열할수 있다. 

• 례외조건:. 어떤 례외조건이 발생하면 탈퇴하겠는가이 다. 

• 자원사용법 :매 요소가 리 용한 자원 량(즉 인쇄하거 나 현시한 행 의 수,읽 거 나 쓴 
기 록의 수，처 리 시 간，리 용한 I 八)단위，대 화시 간 등) 을 주는 량적 인 요소목록이 다. 

• 시간도장:언제 작용이 수행되였는가를 확인하는 유일한 날자-시간도장이다. 

대부분의 사용자조작들은 여러개의 작용들로 이루어 진다. 례를 들어 파일복사는 사 
용자의 지 령의 실행이며 이것은 한개의 파일로부터 읽기，다른 파일에로의 쓰기를 비롯하 
여 접근의 확인과 복사의 설정을 포함한다. 스미스 ( Smi 仕0가 만든 지령을 고찰하자. 


COPY GAME . EXE TO < Library > GAME . EXE 


이 지령은 현재의 등록부로부터 〈 Library 〉 등록부에로 실행형파일 GAME 을 복사한다. 
다음과 같은 검열기록들이 생성될수 있다. 


| Smith 

| 실행 

| <Library>COPY. EXE 

J _0 一— 

| CPU = 00002 

| 11058721678 | 


| Smith 

1 읽기 

| <Smith>GAME. EXE 

J _0 一— 

| RECORDS = 0 

| 11058721679 | 


| Smith 

| 실행 

| <Library〉COPY. EXE 

| Write-viol 

| RECORDS = 0 

| 11058721680 | 


이 경 우에 복사는 스미스가 <L 比 rary > 등록부에 로의 쓰기 허 락을 받지 못하였으므로 
실패 한다. 

사용자조작을 기초적 인 작용으로 분해 하는것은 세 가지 우점을 가진다. 

1. 대상들은 체계에서 보호가능한 실체들이므로 기초적인 작용을 리용하여 대상에 
작용하는 모든 행동을 검열할수 있다. 그러므로 체계는 접근조종을 파피하려는 
것 을 검 출할수 있으며 (되돌려 지 는 례 외 조건들의 수에서 비정상적 인것 에 주목함 
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으로써) 주동체에 접근할수 있는 대상모임에서 비정상적인것에 주목하면서 성공 
한 파피를 검출할수 있다. 

2. 단일 대 상，단일 작용검 열 기 록들은 모형작성 과 실현이 간단하다. 

3. 검 출용검 열 기 록들은 간단하고 단일 한 구조이 므로 이 미 존재하는 가공하지 않은 
검열기록으로부터 검출용검열기록에로 직접 넘김으로써 검열정보나 최소한 그 
일부분을 구하는것 이 상대적으로 쉬울수 있다. 


통계적비정상검출 

우에서 지적한바와 같이 통계 적비정상검 출기술은 크게 두가지 부류 즉 한계검 출과 
륜곽에 기초한 체계 로 이루어 져 있다. 한계검출은 어떤 시구간우에서 특정한 사건형 태 
의 발생 수를 계 산한다. 계 산한 값이 발생할수 있을것 이 라고 생 각하는 적 당한 수를 넘 어 
나면 침입이라고 가정한다. 

한계 검 출만으로는 완전하지 못하며 일 정하게 복잡한 공격 을 검 출하는것 도 효과적 이 
지 못하다. 한계 와 시 구간을 둘다 결정하여 야 한다. 사용자들의 가변성때 문에 이 런 한계 
는 잘못된 긍정 이 든가 아니 면 잘못된 부수를 많이 생 성할수 있 다. 그러 나 단순한 한계 검 
출은 더 정교한 기술과 결합되면 쓸모 있다. 

륜곽에 기초한 비정상검출은 개별적인 사용자들이나 서로 관계되는 사용자들의 그를 
의 과거행 동을 특징 지 은 다음 주요편 차의 검 출에 주목한다. 륜곽은 파라메터 의 모임으 
로 구성할수 있으므로 단일파라메터의 편차는 근본적으로 경보신호를 발생하는데 충분하 
지 못할수 있다. 

이 방식의 기초는 검열기록의 해석이다. 검열기록는 두가지 방법으로 침입검출함수에 
입력을 제공한다. 첫째로 설계자는 사용자의 행동을 측정하는데 리용할수 있는 량적인 측 
정수단을 결정 해 야 한다. 시 간주기우에서 검 열기록을 해석 함으로써 일 반사용자의 활동륜곽 
을 결정할수 있다. 그러므로 검열기록는 일반적인 행동을 정의한다. 둘째로 침입을 검출하 
기 위해 현재의 검열기록을 입력자료로 리용한다. 이것은 침입검출모형이 평균행동과의 편 
차를 결정 하기 위 해 수입 검열 기 륵을 해 석 한다는것 이 다. 

륜곽에 기초한 침입검출에 쓸모 있는 측정수단의 실례는 다음과 같다. 

• 계수기:관리작용에 의해 재설정될 때까지 증가는 할수 있지만 감소하지 않는 비 
부옹근수이 다. 일반적으로 어떤 사건형태의 계수는 특정한 시간주기우에서 진행 
한다. 실례 로서 한시간동안에 단일사용자가 가입한 개 수,단일 사용자대 화동안 실 
행하는 주어 진 지 령의 회수，1분동안 실패하는 통과암호의 개수를 들수 있다. 

• 표준규격:증가하거나 감소할수 있는 비부옹근수이다. 일반적으로 표준규격은 어 
떤 실체의 현재상태의 값을 측정하는데 리 용된다. 실례 로 사용자의 응용프로그 
탐에 할당된 국부적 인 접 속수，사용자의 처 리 공정 이 발생한 통보문의 수를 들수 
있 다. 

• 구간시계 :두개의 관계되는 사건들사이의 시간길이이다. 실례로 성공적으로 가입 
한 등록자리들사이의 길이이다. 

• 자원리용상태:특정한 주기동안 소비하는 자원의 량이다. 실례로 사용자의 대화 
동안 인쇄한 페 지 수，프로그람을 실 행하는데 소비한 전체 시 간을 들수 있 다. 

이러한 일반적인 측정기술이 주어 졌을 때 현재활동이 접수가능한 한계내에 있는가 
를 결정 하기 위 해 여 러 가지 검 사들을 진행 할수 있 다. 참고문헌 [ DENN 8 기 에 서 는 다음의 
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검사방식을 서술한다. 


• 평균값과 표준편차 

• 다변량 

• 마르꼬브공정 

• 시계 렬 

• 조작 

가장 단순한 정적검사는 어떤 리력주기에서 파라메터의 평균값과 표준편차를 측정 
하는것이다. 이것은 일반적인 행동과 이것의 가변성을 나타낸다. 평균값과 표준편차는 
계수기，시계,자원측정과 갈은 여러가지 측정수단으로 측정할수 있다. 그러나 이러한 측 
정들자체는 침입검출목적에 비해 볼 때 일반적으로 아직 완성되지 못하였다. 

다변량모형은 둘 혹은 그이상의 변수들사이의 련관성에 기초하고 있다. 침입자의 행 
동은 이와 갈은 련관성을 고려하여 보다 큰 확실성으로 특징 지을수 있다(실례로 처리기 
시간과 자원사용이나 가입빈도수，대화시간들사이의 련관성을 들수 있다). 

마르꼬브처리공정모형은 여러 상태들의 이행확률을 표현하는데 사용한다. 례를 들어 
이 모형은 어떤 지령들사이의 이행을 고찰하는데 리용할수 있다. 

시계렬모형은 너무 빠르게 혹은 너무 느리게 일어 나는 사건들의 렬을 관찰하면서 시 
구간에 주목한다. 각이 한 통계적검사들은 비정상적 인 동기를 특징 짓는데 리용할수 있다. 

마지 막으로 조작모형은 과거의 검 열기록의 자동적 인 해석 보다도 비정상적 인것 으로 
고찰되는것들에 대한 판단에 기초하고 있다. 일반적으로 고정된 한계를 정의하며 침입은 
이 한계밖에 있다고 추측한다. 이러한 방식은 어떤 형태의 활동으로부터 침입자의 행동 
을 추출하는데 가장 효과적으로 적용된다. 례를 들어 짧은 시간동안 가입을 많이 해보는 
것은 침입자이 다. 

이 러 한 여 러 가지 측정 과 모형 을 리 용하는 실 례 로서 표 15-3 에 스탬 포드연구소 ( SRI ) 
의 침입검출체계 ( IDES ) 를 참고하고 검사한 여러가지 측정을 보여 주었다(참고문헌 
[ DENN 87, JAVI 91, LUNT 88 ]). 

통계적륜곽을 리용하는 기본 우점은 보안결함에 대한 사전지식을 요구하지 않는다는 
것이다. 검출프로그람은 무엇이 《정상적 인》행동인가를 알고 다음 편차를 구한다. 이 
방식은 체계의 특징들과 약점들에 관계되지 않는다. 그러므로 각이한 체계 에 실지 로 적 
용할수 있을것이다. 


규칙 기 초침 입 검 출 

규칙에 기초한 기술은 체계의 사건을 관찰한 다음 규칙모임을 적용하여 주어 진 활 
동패런이 의심스러운가 아닌가를 판단함으로써 침입을 검출한다. 매우 일반적인 관점에 
서 보면 비정상검출이나 침입식별에 주목함으로써 이 방식들에 증복이 있다고 해도 모든 
방식들을 득징 지을수 있 다. 

규칙 에 기초한 비정상검 출은 방식과 강도의 측면에서 통계적비정상검 출과 류사하다. 
사용패 턴들을 식 별 하고 이 패 런들을 서 술하는 규칙 들을 자동적 으로 생 성하기 위 해 규칙 
에 기초한 방식 에 따라 리 력검 열기록들을 분석한다. 규칙들은 사용자，프로그람，특권， 
시간간격，말단 등의 과거의 행동패턴을 나타낼수 있다. 현재의 행동은 그때 관찰되며 
이것이 리력적으로 관찰된 어느 행동패런과 일치하는가를 결정하기 위해 매 이행을 규칙 
모임에 관하여 대조한다. 
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통계적비정상검출과 같이 규칙에 기초한 비정상검출은 체계내에 어떤 보안약점을 가 
지고 있는가에는 관계되지 않는다. 오히려 도식은 과거의 행동의 관찰과 사실상 앞으로 
도 과거와 같을것이라는 가정에 기초한다. 이 방식이 효과적이기 위해서는 매우 큰 규칙 
자료기 지 가 필요하다. 례 를 들어 참고문헌 [ VACC 89] 에 서 술한 도식 은 10 4 부터 10 6 개 
사이의 규칙을 포함한다. 

규칙에 기초한 침입식별은 침입검출과 전혀 다른 방식을 취한다. 즉 이것은 전문가 
체 계 기술에 기 초하고 있다. 이와 갈은 체계의 기본특징 은 알려 져 있는 침입 력을 식 별하 
거 나 알려 져 있는 약점을 리용하는 침입력을 식별하기 위한 규칙들을 리용한다는것 이 다. 
확립된 사용패 턴의 한계내 에 행동이 속한다 해도 규칙들을 의심 이 많은 행동을 식 별하도 
록 정의할수도 있다. 일반적으로 이러한 체계들에서 리용되는 규칙들은 콤퓨터와 조작체 
계 에 따라 구별된다. 또한 이 와 같은 규칙들은 검 열기록을 자동해 석하는 방법 보다도 오 
히 려 《전문가》에 의해 생성된다. 표준수속은 목표체 계의 보안을 위 협하는 알려 져 있 
는 침입씨나리오들과 기본사건들을 모두 수집하기 위해 체계관리자들과 보안분석자들이 대 
면하는것이다. 따라서 이 방식의 강도는 규칙들을 설정하는 기교에 관계된다. 

리용할수 있는 규칙형 태의 단순한 실례는 니득쓰 ( NIDX ) 에서 찾아 볼수 있는데 그 
것은 활동에 대한 혐의차수를 결정하는 발견적규칙들을 리용한 최초의 체계이다(참고문 
헌 [ BAUE 88]). 실례로 되는 발견적인 지식은 다음과 같다. 

1. 사용자들은 다른 사용자의 개별적인 등록부들에서 파일들을 읽을수 없다. 

2. 사용자들은 다른 사용자의 파일들을 쓰지 말아야 한다. 

3. 근무시 간후에 가입한 사용자들은 제 일 처 음에 리 용하였 던 파일 들에 자주 접 근한 
다. 

4. 사용자들은 일반적으로 디스크장치를 직접 열지 못하고 고준위조작체계응용프로 
그람에 의 거한다. 

5. 사용자들은 갈은 체계에 한번이상 가입할수 없다. 

6. 사용자들은 체 계프로그람을 복사할수 없다. 

아이데스 ( IDES ) 에서 리용되는 침입식별도식은 다음과 갈은 전략을 대표한다. 검열기 
록들은 생성되자마자 조사되여 규칙기준과 대조된다. 대조되면 사용자의 의심정도는 증가 
한다. 대조되는 규칙들이 많으면 의심정도는 극단적 인 경우의 한계를 벗어 날것 이 다. 

아이데스방식은 검열기록의 조사에 기초하고 있다. 이 계획의 결함은 융통성이 부족 
한것이다. 주어 진 침입계획을 약간 변화시키거나 미묘한 방법으로 변화시킬 때마다 여 
러개의 대 리 인검 열 기 록렬 이 만들어 질수 있다. 아주 명 백하게 표현된 규칙들에 의해 이 
것 들의 모든 변화를 반영하는것 이 힘 들수 있 다. 다른 방법 은 특정 의 검 열 기 록과 독립인 
고준위 모형 을 개 발하는것 이 다. 그러한 실례 가 유스타트 ( USTAT ) 로서 알려 져 있는 상 
태 이 행 모형 이 다 (참고문헌 [ ILGU 93]). 유스타트는 UNIX 의 검 열 기 구에 의해 기 록된 상 
세한 특정의 작용보다도 일반적인 작용을 처리한다. 유스타트는 239개의 사건에 대한 검 
열기록을 제공하는 싼오에쓰 ( SunOS ) 체계에서 실현된다. 이것들중 28개만은 전처리기에 
서 리용되며 이것은 그것들을 10개의 일반적인 작용들로 넘긴다(표 15-4). 바로 이 작용 
들과 그 매 작용들에 서 호출하는 파라메터 들을 리 용하여 혐 의활동을 특징 짓 는 상태 이행 
도를 만들수 있다. 검열할수 있는 여러개의 서로 다른 사건들은 보다 작은 여러개의 작 
용들로 넘 어 가므로 규칙-창조처 리공정은 매우 간단하다. 더우기 새롭게 알게 된 침 입행 
동들을 나타내 기 위해 상태이 행 도를 변경하는것 도 쉽다. 
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표 15-4. _ SunOS 사건형래에 대한 USTAT 작용 


USTAT 작용 

SunOS 사건 형 

Read 

open _ r , open _ rc , open _ rtc , open _ rwc , open _ rwtc , open _ rt , open _ 
rw , open_rwt 

Write 

truncate , f truncate , creat , open _ rtc , open _ rwc , open _ rwtc , open 
_ rt , open _ rw , 

open _ rwt , open _ w , open _ wt , open _ wc , open_wct 

Create 

mkdir , creat , open _ rc , open _ rtc , open _ rwc , open _ rwtc , open_wc 
, open _ wtc , mknod 

Delete 

rmdir , unlink 

Execute 

exec , execve 

Exit 

exit 

Modify_Owner 

chown , fchown 

Modify_Perm 

chmod , fchmod 

Rename 

rename 

Hardlink 

link 


분산침입검출 

지 금까지의 침 입검출작업은 독립형설비 의 단일체 계 에 주목하였 다. 그러 나 일반적 인 
기 구에 서 는 LAN 이 나 인 터네 트망이 지 원하는 분산된 가입 자들의 모임 을 방어하는것 이 
필요하다. 매 가입 자에서는 독립형침 입검 출체 계를 리용하여 방어할수 있지만 더 효과적 
인 방어는 망을 통한 침 입검출체계 에서 조정과 협조에 의해 달성할수 있다. 

포라스 ( Porras ) 는 분산침 입 검 출체 계 의 설계 에 서 다음과 같은 주요한 결과를 지적 하 
였다 [ PORR 9 幻. 

• 분산침입검출체계에서는 다른 검열기록형식을 취하여야 한다. 각이한 환경에서 
서 로 다른 체 계 들은 서 로 다른 가공하지 않은 검 열 수집 체 계 를 취 할것 이 며 침 입 
검출을 리용하는 경우 보안과 관련한 검 열기록들에 대해 서 로 다른 형식을 취 
할수 있 다. 

• 망에서 한개 혹은 그이상의 마디들은 망우에서의 체계의 자료에 대한 요점의 수 
집과 분석으로서 봉사할것 이 다. 그러므로 가공하지 않은 검열자료나 개요자료는 
망을 통하여 전송해야 한다. 따라서 이 자료의 완정성과 기밀성을 보증하여야 할 
필요가 제기된다. 완정성은 침입자가 전송한 검열정보를 변경시켜 자기의 활동들을 
감추는것을 막기 위해 필요하다. 기밀성은 전송된 검열정보가 변경될수 있으므로 
필요하다. 

• 집중 혹은 분산방식을 리용할수 있다. 집중방식 에는 모든 검열자료를 수집，분석 
하는 한개의 중앙점이 있다. 이것은 호상관계가 있는 입력보고서의 과제는 쉽게 
처 리하지만 강한《병목》현상과 단일실패 점 이 나타난다. 분산방식 에는 분석중 
심 이 한개 이상 있지만 이것들은 자기 활동들을 조정 하고 정보를 교환해 야 한다. 


실 례 로 데 이 비 스 캘 리 포니 아 (Davis California ) 종합대 학에 서 개 발한 분산검 출체 계 
를 들수 있다(참고문헌 [ HEBE 92, SNAP 91]). 그림 15-5 에 전체 방식을 보여 주었는데 
이것은 3가지 주요구성부분으로 이루어 져 있다. 
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그림 15-5. 분산침입검출방식 


• 가입자대리인모듈:감시체계우에서 배경 처리로서 조작하는 검열수집 모둘이다. 이 
것 의 목적 은 가입 자의 보안과 관련 한 사건자료들을 수집하여 중앙관리 자에 게 그 
자료들을 전송하는것 이 다. 

• LAN 감시기대리 인모듈: LAN 통신을 분석하는것외 에 가입 자대 리 인모둘과 같은 
방식으로 작용하며 중앙관리자에게 결과를 보고한다. 

• 중앙관리 자모듈 : LAN 감시기 와 가입 자대 리 인으로부터 보고를 받아 처 리하며 침 
입 을 검 출하기 위해 이 보고들을 서 로 련 관시 킨 다. 

도식 은 임 의의 조작체 계 나 검 열체 계의 실현에 관계 되지 않도록 설계 한다. 그림 15- 
6[ SNAP 91] 에 이 도식을 실현하는 일반적 인 방식을 보여 주었다. 

대 리 인은 검 열수집체 계 로부터 가공되 지 않은 모든 검 열 기 록을 획 득한다. 려 과기 는 
보안리익이 있는 기록만을 보존하게 한다.이 기록들은 다음 가입자검열기록 ( HAR ) 으로 
서 표준화된 형식으로 다시 형식화된다. 다음으로 형판구동 ( template - driven ) 론리모둘 
이 혐의활동에 관한 기록들을 분석한다. 제일 낮은 준위에서 대리인은 과거의 임의의 사 
건들과 독립인 흥미 있는 주목할만 한 사건들에 대하여 세밀히 조사한다. 이 러한 사건들의 
실례로서는 실패된 파일접근，체계파일에로의 접근，파일의 접근조종의 변화를 들수 있다. 
다음으로 높은 준위에서 대리인은 알고 있는 공격패런(서명)과 갈은 사건들의 렬을 찾는다. 
마지막으로 대리인은 실행된 프로그람의 수, 접근한 파일의 수 등과 같은 사용자들의 리력 
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그림 15-6. 대리인방식 


륜곽에 기 초하고 있는 개 별적 인 사용자의 례 외활동을 찾는다. 

혐 의 활동이 검 출되 면 경 고신호를 중앙관리 자에 게 보낸 다. 중앙관리 자는 수신된 자료로 
부터 추론을 진행하는 전문가체계를 포함하고 있다. 관리자는 다른 대 리 인로부터 HAR 들과 
의 련관성을 나타내기 위해 개별적인 체계에 HAR 들의 복사에 대한 질문을 할수도 있다. 

LAN 감시기의 대리 인도 중앙관리자에게 정보를 제공한다. LAN 감시기의 대리 인은 가 
입 자-가입 자접 속，리용하는 봉사들，통신량을 검 열 한다. 또한 망적재 시의 급격한 변화와 
갈은 의미 있는 사건들，보안과 관련한 봉사들의 리용，재가입과 갈은 망활동을 찾는다. 

그림 15-5 와 그림 15-6 에서 서술한 방식은 완전히 일반적 이고 융통적이다. 그것은 
독립형침입검출로부터 체계에로 확장될수 있는 콤퓨터독립형방법의 기초를 제공하는데 
그에 의해 많은 싸이 트들과 망들로부터 활동을 호상 련관시켜 검 출되 지 않은채 로 있는 
혐 의활동들을 검 출할수 있 다. 


15.2 비루스와 그와 관련된 우 I 협 


콤퓨터체계에 대한 가장 세련된 위협형태는 콤퓨터체계의 약점을 리용한 프로그람에 의 
해 나타난다. 여기서는 응용프로그람과 편집기，를파일러，봉사프로그람을 고찰한다. 

먼저 쏘프트웨 어의 위협의 범위를 개괄한다. 이 절의 마지막에 비루스에 대해서 론 
한다. 우선 특성을 보고 대응수단에 대 해 고찰한다. 

우 I 법프로그람 

그림 15-7 에 쏘프트웨어 에 의한 위협의 총적 인 분류와 위 법프로그람들을 제시하였다. 
이 위협들을 두가지 부류로 나눌수 있다. 가입자프로그람을 요구하는것과 독립적 인것 이 
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다. 전자는 일부 실제적인 응용프로그람,봉사프로그람，체계프로그람과 독립적으로 존재 
할수 없는 토막프로그람들이다. 후자는 계획화될수 있으며 조작체계에 의해 실행될수 있 
는 자립적 인 프로그람이 다. 

자가복제 하지 않는 위 협 쏘프트웨 어 들과 자가복제 하는 위 협 쏘프트웨 어 로 구별 할수도 
있다. 먼저의것은 가입자프로그람이 특정한 함수를 실행하려고 접근할 때 동작하는 파괴 
프로그람이다. 그다음의것은 실행할 때 같은 체계나 어떤 다른 체계우에서 후에 동작하 
여야 할 한개 혹은 그이상의 자체복사들을 만들수 있는 파피프로그람(비루스)이나 독립 
적인 프로그람(월,박테리아)으로 이루어 진다. 

비 록 그림 15-7 의 분류는 론의하는 정 보를 종합하는데 가치 는 있으나 모든 분류가 
다 가치 있는것은 아니다. 특히 론리폭탄이나 트로이목마는 비루스나 웜의 일부분으로 
될수 있다. 



그림 15-7. 위법프로그람의 분류 


함정 문 

함정문은 함정문을 아는 그 누군가가 보안접근수속을 거치지 않고 접근하게 하는 프 
로그람에 대 한 비밀입 력 자료점 이 다. 함정 문은 프로그람작성 자들이 프로그람을 오유수정 
하는데 다년간 합법 적 으로 리용되 여 왔다. 함정문은 프로그람작성 자가 인증수속을 가지 
거 나 사용자가 응용프로그람을 실 행 하기 위해 많은 다른 값들을 입 력하는데 오랜 설정 조 
작이 요구될 때 설 치된다. 프로그람을 오유수정 하기 위해 개 발자는 특별 한 특권준위 를 
얻으러고 하거나 모든 필요한 설정과 인증을 피하려고 할수 있다. 프로그람작성자는 응 
용프로그람에 만들어 진 인증수속으로써 무엇인가 틀리게 프로그람을 동작시키는 방법이 
있다는것을 보증하려고도 할수 있다. 함정문은 어떤 특별한 입력자료렬을 평가하는 부호 
이거 나 정 확한 사용자의 식 별자에 의해 혹은 적 합하지 않은 사건렬에 의해 발화되는 부 
호이 다. 

함정 문들은 위 법프로그람작성 자들이 부여 되 지 않은 접 근자격 을 얻 으러 고 이 것 들을 
리 용할 때 위 협 으로 된 다. 함정 문의 기 본사상은 《 전쟁 오락 (War Gflwes ) 》(참고문헌 
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[ COOP 89]) 영화에서 묘사한 약점을 리용하였다는것이다. 또 다른 실례는 말틱스 
( Multics ) 의 개 발기 간 공군 (Air Force ) 의 범 림 (적 수들을 모의 하여 ) 이 침 입 검 사들을 진 
행하였 다는것 이 다. 채 용한 한가지 전 략은 말틱 스를 실 행 하는 싸이 트에 갱 신된 위 조조작 
체계를 보내는것이다. 갱신은 함정문으로서 동작하여 범림이 접근자격을 얻게 하는 트로 
이목마를 포함하였다. 그후에 위협의 존재를 알았을 때에도 말틱스의 개발자들은 그것을 
찾지 못했으므로 위협은 훌륭히 실현되였다 [ ENGE 80]. 

함정 문이 조작체 계 를 조종하게 하는것 은 힘 들다. 보안측정 수단들은 프로그람개 발과 
쏘프트웨어 의 갱 신활동에 주목하여 야 한다. 

론리폭탄 

비루스나 월보다 먼저 나온 가장 오랜 형태의 하나가 론리폭탄이다. 론리폭탄은 일 
정한 조건을 만날 때 〈〈폭발》하는 어 떤 합법적 인 프로그람에 매몰된 부호이다. 론리 폭 
탄이 리용할수 있는 발화조건의 실례로서는 일정한 파일의 존재나 결여，한주의 특별한 
날자나 요일，응용프로그람을 실 행하는 특별 한 사용자 등이 다. 한가지 유명 한 경 우로서 
(참고문헌 [ SPAF 8 的 ) 론리폭탄은 어 떤 사용자에 대 한 식 별 자번 호를 검 사한 다음 두개 
의 련속적인 종업원명부처리에서 나타나지 않으면 발화된다. 일단 발화되면 폭탄은 자료 
나 파일전체를 변경시키거 나 삭제하며 콤퓨터의 폭주를 일으키는 등의 손상을 준다. 론 
리폭탄을 어떻게 리용할수 있는가에 대한 인상적인 실례는 메리랜드주의 몬트고메리시의 
도서 관체 계 (Montgomery County , Maryland , library ) (참고문헌 [ TIME 90]) 의 경 우 
를 들수 있다. 콤퓨터화된 류통체계를 개발한 계약인은 돈을 지불하지 못하면 일정한 날 
자에 체계를 쓸수 없게 하는 론리폭탄을 삽입하였다. 체계가 불충분한 응답시간을 가졌 
으므로 도서관이 그것의 최종적인 지불을 지연하였을 때 계약인은 폭탄의 존재를 밝히고 
곧 지불하지 않으면 폭발하게 될것이라고 위협하였다. 

트로이목마 

트로이목마는 요구될 때 필요 없거나 해로운 기능을 수행하는 숨은 부호가 들어 있 
는 쓸모 있거 나 쓸모 있 어 보이 는 프로그람이 나 지 령 수속이다. 

트로이목마프로그람을 리용하여 권한이 없는 사용자가 직접 얻을수 없는 기능을 간 
접적으로 엄을수 있다. 실례를 들어 공유한 체계우에서 다른 사용자의 파일에 접근하기 
위해 사용자들은 임의의 사용자가 파일을 읽을수 있게 호출되는 사용자파일의 허용을 변 
화시키는 트로이목마프로그람을 만들수 있다. 다음 공동등록부에 그것을 배치하고 유용 
한 응용프로그람으로 나타나도록 이름을 붙임으로써 사용자가 프로그람을 실행하게 한다. 
실례로 자신이 바라는 형태로 사용자의 파일들을 직관적으로 렬거하는 프로그람을 들수 
있다. 다른 사용자가 이 프로그람을 실행할 때 사용자파일에 대한 정보를 호출할수 있다. 
검 출하기 힘든 트로이 목마프로그람의 실례 는 체 계 가입 프로그람과 같은 일정 한 프로그람 
들에 이것들을 콤파일할 때 추가적인 부호를 삽입하도록 변경시킨 콤파일러이다 
[ THOM 84]. 부호는 개 발자가 특수한 통과암호를 리 용하여 체계 에 가입 하게 하도록 가 
입프로그람에 함정 문을 만든다. 이 트로이 목마는 가입프로그람의 원천부호를 읽 는것 으로 
써는 결코 발견할수 없다. 

트로이목마는 또한 일반적으로 자료를 파피한다. 그 프로그람은 유용한 기능을 실행 
하는것 처 럼 나타나지 만(즉 전자수판프로그람) 사용자의 파일을 조용히 삭제할수도 있다. 
례 를 들어 CBS 집 행위 원회 는 콤퓨터기억기 에 기 억된 모든 정 보를 파괴하는 트로이목마에 
의해 피해를 입 었다 [ TIME 90]. 그때 트로이목마는 전자게시 판체계 에서 제출한 그라픽스 
루린에 끼워 져 있었다. 
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비루스 

비루스는 자기를 변경하여 다른 프로그람을 전염시킬수 있는 프로그람이다. 변경은 
비루스프로그람의 복사를 포함하며 이것은 계속하여 다른 프로그람에 전염되여 간다. 

생물비루스는 살아 있는 세포의 구조체에 들어 불어 본래의 비루스를 수많이 완전히 
복제하는 기 교를 물려 줄수 있는 유전자부호 DNA 나 RNA 의 작은 부분이 다. 콤퓨터비 
루스는 완전한 자가복제를 만드는 부호를 자기의 명 령부호에 가지고 있다. 일반적으로 
비 루스는 가입 자콤퓨터 에 잠복하며 를퓨터디 스크조작체계의 일시 적 인 조종을 리 용한다. 
다음 전염된 콤퓨터 가 전염 되지 않은 쏘프트웨어의 부분과 접 촉할 때 항상 새 로운 프로 
그람에 비루스의 새로운 복사가 진행된다. 그러므로 디스크를 교환하거나 망우에서 어떤 
다른 곳으로 프로그람을 보내 는 사용자에 의해 를퓨터 에서 를퓨터 에 로 전염 될수 있다. 
망환경에서는 다른 콤퓨터에 있는 응용프로그람과 체계봉사를 호출할수 있으므로 비루스 
가 전파될수 있다. 

비루스들에 대해서는 이 절의 뒤부분에서 구체적으로 고찰한다. 

월 

망의 웜프로 그람들은 망접속을 리용하여 체계에서 체계에로 전파된다. 일단 체계내 
에 존재하면 월은 콤퓨터비루스나 박테 리 아로서 행동할수 있으며 트로이목마프로그람들 
을 끼워 넣거나 혹은 여러가지 중단이나 파괴동작을 할수 있다. 

자기자신을 복사하기 위하여 망월은 대체로 어떤 망운반수단을 리용한다. 실례로 다 
음과 갈은것을 들수 있다. 

• 전자우편기능: 웜은 다른 체계에 자신의 복사를 우편으로 보낸다. 

• 원격 실행 능력 :웜 은 다른 체 계 에서 자신의 복사를 진행한다. 

• 원격가입능력: 월은 사용자처럼 먼 곳에 있는 체계에 가입한 다음 한 체계로부터 
다른 체계 에 로 자기 자신을 복사하는 지 령을 실행한다. 

월 프로그람의 새 로운 복사는 먼 곳에 있는 체 계 에서 실행하는 한편 이 체 계 에서 수 
행하는 임의의 기 능외 에 갈은 방법 으로 계속 전파한다. 

망웜 은 콤퓨터비 루스와 갈은 특징 을 가진 다. 즉 잠복단계，전염단계，발병단계，실 
행단계를 가진다. 전염단계는 일반적으로 다음의 수속에 따라 진행된다. 

1. 가입 자표나 먼 곳에 있는 체 계의 주소와 류사한 저 장고를 조사하여 전염하려는 
어떤 체계를 찾는다. 

2. 먼 곳에 있는 체계와 접속한다. 

3. 먼 곳에 있는 체계에 자신을 복사하고 복사가 실행되게 한다. 

월은 체계에 자기자신을 복사하기전에 먼저 전염시키려는 체계가 있는 곳을 찾는다. 
다중프로그람작성체계에서는 체계조작자가 알아 차릴수 없게 체계처 리공정으로서 자신의 
이름을 만들거 나 어떤 다른 이름을 리용하여 잠복할수 있다. 

비 루스와 같이 월 도 예 방하기 가 힘 들다. 그러 나 망보안과 단일체 계보안수단을 정 확 
히 설계하고 실현하면 월의 위협을 최소화할수 있다. 


박테 리 아 

박테 리 아는 명백히 아무 파일 이 나 파괴하지 않는 프로그람이다. 그것의 유일한 목적 
은 자기 자신을 복제하는것 이 다. 일반적 으로 박테 리 아프로그람은 다중프로그람작성체계 에 
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서 동시에 두개의 자가복제를 진행하거나 두개의 새로운 파일을 창조하는것외에는 아무 
것도 하지 않으며 그 매개 파일은 박테리아프로그람의 본래의 원천파일의 복사이다. 다 
음 이 두 프로그람은 자기 자신을 두배로 복사할수 있다. 박테 리 아는 지수함수적으로 복 
제되며 언젠가는 처리기용량, 기억기, 디스크공간을 전부 차지하여 이 자원들에 대한 사 
용자의 접근을 배제 한다. 

비루스의 본질 

비루스는 다른 프로그람이 하는 모든것을 할수 있다. 다만 차이는 다른 프로그람에 
자기자신을 첨부하며 숙주프로그람이 실행될 때 비밀리에 실행된다는것이다. 일단 비루 
스가 실행되면 그것은 파일과 프로그람을 지우는것과 갈은 기능을 수행한다. 일반적으로 
비루스는 다음의 4가지 단계를 거친다. 

• 잠복단계 : 비루스는 아무것도 하지 않는다. 비루스는 어떤 날자，다른 프로그람 
이 나 파일의 존재 , 일정한 한계 를 벗 어 나는 디스크의 용량과 같은 어 떤 사건에 
의해 마침 내 동작할수 있 을것 이 다. 모든 비 루스가 다 이 단계 를 거 치 는것 은 아 
니 다. 

• 전염단계 : 비루스는 디스크에 있는 다른 프로그람이 나 어떤 체계에 자가복제를 
진행한다. 전염된 매 프로그람은 그때부터 비루스클론을 포함하고 있게 되며 이 
것 은 자체 로 전염단계 에 들어 갈수 있 다. 

• 발병단계 : 비 루스는 자기 가 하려 고 하는 기 능을 수행 하기 위해 동작한다. 잠복 
단계 와 같이 발병단계 는 비 루스가 몇번 복사되 였는가 하는 회 수의 계 수를 비 롯 
하여 각이한 체계의 사건에 의해 일어 날수 있다. 

• 실행 단계 : 기 능을 수행한다. 기능의 실행 은 화면에 통보문을 내 보내 는것과 같이 
해를 주지 않거나 프로그람과 자료파일의 파괴와 같은 피해를 줄수 있다. 

대부분의 비루스들은 조작체계에 따라 특별하거 나 하드웨 어의 가동환경 에 따라 특 
별한 의미 에서 작업 을 수행한다. 그러므로 그것들은 매 개 체 계의 구체 적 인 내 용과 약점 
을 리용하여 설계되였다. 


비루스의 구조 

비루스는 실행가능한 프로그람에 미리 전염되거나 후에 전염될수 있으며 혹은 어떤 
다른 방식으로 들어 있을수 있다. 비루스조작의 기본은 전염된 프로그람이 실행될 때 먼 
저 비 루스부호를 실 행 하고 다음 프로그람의 원천부호를 실 행하게 한다는것 이 다. 

가장 일반적 인 비루스의 구조에 대한 표상을 그림 15-8 에 보여 주었다 [ COHE 94]. 
이 경우에 비루스부호 V 는 전염된 프로그람에 미리 잠복해 있으며 실행되는 프로그람의 
입 력 자료점 은 프로그람의 첫 행 이 라고 가정한다. 

전염된 프로그람은 비루스부호부터 시작하여 다음과 같이 실행된다. 부호의 첫행은 
기 본비 루스프로그람에 로 이 행하는것 이 다. 두번째 행 은 이 미 비 루스에 전염 된 프로그람인 
가 아닌가를 결정 하기 위해 비 루스가 리용하는 전문표식 자이 다. 프로그람이 호출될 때 
조종은 즉시 기 본비 루스프로그람에 로 이 행한다. 비 루스프로그람은 처 음 전염 되 지 않은 
실 행 가능한 파일을 찾아 보고 그것 을 전염 시 킨다. 다음 비 루스는 어 떤 작용을 수행하며 
보통 체계에 손상을 준다. 이 작용은 프로그람이 호출될 때마다 매번 수행될수 있거나 
일정한 조건하에서 만 발화되 는 론리 폭탄으로 될수 있다. 마지 막으로 비 루스는 본래 프로 
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그람에로 조종을 이행한다. 프로그람의 전염단계가 매우 빠르면 사용자는 전염된 프로그 
람과 전염되지 않은 프로그람사이의 임의의 차이점을 알아 차리지 못한다. 

Program V : = 

{goto main ： 

1234567： 

subroutine infect - executable : = 

{ loop ： 

file : = get - random - executable - file : 
if ( first - line - of - file =1234567) 
then goto loop 
else prepend V to file ;} 


subroutine do - damage : = 
{whatever damage is to be done } 


subroutine trigger-pulled ： = 

{return true if some condition holds } 


main ： main-program ：= 

{ infect - executable : 
if trigger-pulled then do - damage ; 
goto next ;} 

next ： 


그림 15-8. 간단한 비루스 


우에서 서술한것과 갈은 비루스는 전염된 프로그람이 대응하는 전염되지 않은 프로 
그람보다 커지기때문에 쉽게 검출된다. 비루스를 검출하는 이와 같은 간단한 방법을 막 
는 방도는 전염된것과 전염되지 않은 프로그람이 갈은 크기를 가지도록 실행가능한 파일 
을 압축하는것이다. 그림 15-9( 참고문헌 [ COHE 94]) 에 일반적으로 필요한 론리를 보여 
주었다. 이 비루스에서 기본행은 번호로 되여 있으며 그림 15-10( 참고문헌 [ COHE 94]) 
에 조작을 보여 주었다. 프로그람 다는 비루스 CV 에 전염되여 있다. 이 프로그람이 호 
출될 때 조종은 비 루스에 로 넘 어 가며 다음과 같은 단계 를 수행한다. 
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1. 비루스는 처음에 찾아 낸 개개의 전염되지 않은 파일 p 2 을 본래의 프로그람보다 
비루스의 크기만큼 더 작게 Pi '로 압축한다. 

2. 압축된 프로그람에 비루스가 복사된다. 

3. 본래 전염된 프로그람의 압축된 판본 머'를 푼다. 

4. 압축을 푼 본래의 프로그람이 실행된다. 

이 실례에서 비루스는 전염외에 아무것도 하지 않는다. 이전의 실례에서처럼 비루스 
는 론리폭탄을 포함할수 있다. 

초기 전염 

일단 비루스가 한개의 프로그람에 전염되여 체계에 대한 가입을 엄으면 그것은 전염 
된 프로그람이 실행될 때 이 체계의 일부 혹은 모든 다른 실행가능한 파일에 전염될수 
있는 상태에 있다. 그러므로 첫번째 장소에 대한 가입을 얻는것을 막음으로써 전염을 완 
전히 방지할수 있다. 유감스럽게도 비루스는 체계를 제외 하고는 그 어떤 프로그람의 부 
분으로도 될수 있으므로 방지는 매우 힘들다. 그러므로 깨끗이 청소한 다음 체계와 응용 
프로그람을 쓰지 않는 한 위 험하다. 

비루스들의 전염은 대부분 디스크에 있는 프로그람들을 콤퓨터에 복사할 때 일어 난 
다. 이러한 디스크들로서는 대부분 오락이 들어 있는 디스크나 사용자들이 가정용콤퓨터 
용으로 구입하여 사무콤퓨터 에 넣 어 쓰는 간단하고 쓰기 편리한 응용프로그람들이 있는 
디 스크들이 다. 믿기 어 렵지 만 어떤것은 응용프로그람제 작자가 포장한 디스크들에 도 존재 
한다. 다만 전염의 일부만이 망접촉을 통해 진행된다. 이것들중 대부분은 전자게시판체 
계로부터 구한다. 일반적으로 사용자는 비루스가 들어 있다는것을 알아 차리기전까지는 
오락이 나 가치 있는 응용프로그람들을 계속 끌어 올것 이 다. 

비루스의 형태 

처 음 비 루스가 출현한 때 로부터 비 루스제 작자와 항비 루스쏘 프트웨 어 제작자들사이 의 
경쟁은 끊임없이 계속되고 있다. 이미 있는 비루스형태에 대해서 효과적인 수단들이 개 
발되 여 온것 처 럼 새 로운 비 루스형 태 들도 개 발되 고 있다. 참고문헌 [ STEP 93] 에서 는 가 
장 중요한 비 루스형 태 로서 다음과 갈은 부류를 제 시하였 다. 

• 기생비루스:전통적 이며 여전히 일 반적 인 대부분의 비루스형 태 이 다. 기생비루스 
는 실행가능한 파일에 붙어서 전염된 프로그람이 실행될 때 다른 실행가능한 파 
일 을 찾아서 복제한다. 

• 기 억기상주형비루스:상주체 계프로그람의 부분으로서 주기억기 에 들어 가 있다. 
이 순간부터 비 루스는 실 행하는 모든 프로그람에 전염 된다. 

• 기동분구비루스:주기동기록이나 기동기록에 전염되며 체계가 비루스가 있는 디 
스크로부터 기동될 때 전파된다. 

• 스텔스 비루 스:항비루스쏘 프트웨 어의 검출로부터 자기자신을 완전히 감추도록 설 
계 된 비 루스형태 이 다. 
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• 다형성비루스:비루스의 《서명》에 의한 검출이 불가능하며 매번 전염되는것과 
동시에 변화되는 비루스이 다. 

스텔스비루스의 한가지 실례는 다음과 같다. 압축을 리용하여 전염된 프로그람이 전 
염되지 않은 프로그람과 꼭같은 길이를 가지게 하는 비루스이다. 훨씬 더 정교한 기술이 
있을수 있다. 례를 들어 비루스는 디스크 I 八)루린에 대 한 론리를 가로 챌수 있으면 이 
루린을 리용하여 사용자가 의심스러운 부분을 읽으러고 할 때 반대로 본래의 프로그람 
즉 전염되지 않은 프로그람이 나타나게 한다. 이렇게 비밀은 비루스에 적용되는것이 아 
니 라 반대로 비루스가 검출을 피하는데 리용되는 기술이 다. 

다형성비루스는 기능적으로는 동등하지만 복제할 때에 명백히 차이나는 비트패런을 
가지는 복사를 창조한다. 비밀비루스와 같이 목적은 비루스를 조사하는 프로그람을 좌절 
시키는것이다. 이 경우에는 복사할 때마다 비루스의 《서명》을 매번 변화시킨다. 서명 
을 변화시키기 위하여 비루스는 쓸데 없는 명령을 무질서하게 삽입하거나 개별적인 명령 
들의 순서를 교환한다. 가장 효과적 인 방식은 암호를 리용하는것 이다. 일반적으로 변이 
엔진이라고 부르는 비루스의 일부분은 비루스의 남은 부분을 암호화하기 위하여 란수적 
인 암호열쇠를 만든다. 열쇠는 비루스와 함께 기억되며 변이엔진은 자체로 변경된다. 전 
염된 프로그람이 호출될 때 비루스는 자기를 복호하기 위해 기억된 우연적인 열쇠를 리 
용한다. 비루스는 복제될 때 다른 우연수열쇠를 선택한다. 

비루스제작자의 《무기고》에 있는 또 다른 비루스무기는 비루스를 만드는 도구묶음 
이다. 이런 도구묶음은《풋내기》도 다른 여러가지 비루스들을 빨리 만들수 있게 한다. 
비록 도구묶음으로서는 완전히 빈터에서 설계한 비루스들보다 좀 더 복잡하게 비루스들 
을 만들수 있지만 생성될수 있는 여러가지 완전히 새로운 비루스들은 항비루스전략에 대 
한 문제를 만들어 낸다. 또 다른 비루스제작도구는 비루스교환게시판이다. 미국과 기 타 
나라들에서 이와 같은 게시판들이 급속히 늘어 나고 있다(참고문헌 [ ADAM 92]). 이 게 
시판들은 비루스를 만드는 비결뿐아니 라 비루스들의 복사물들을 제공한다. 

마크로비루스 

최근 많은 비루스들이 회사싸이트들과 충돌하는 회수가 급격히 늘어 났다(참고문헌 
[ BERG 97]). 사실 이 충돌은 보다 새로운 형태의 비루스들의 확산때문이였다. 국가콤퓨 
터 보안기 관 ( www . nsca . com ) 에 의 하면 마크로비 루스는 지 금 모든 콤퓨터 비 루스들의 
2~3배로 만들어 지고 있다. 

마크로비루스는 여 러가지 리유로 특히 위험하다. 

1. 마크로비루스는 가동환경과는 독립이다. 사실 모든 마크로비루스들은 
MicrosoftWord 문서 에 전염된다. 워드를 지 원하는 임의의 하드웨 어 가동환경과 
조작체계에 전염될수 있다. 

2. 마크로비루스는 실행가능한 부호부분이 아니라 문서에 전염된다. 콤퓨터체계에 
들어 있는 대부분의 정보들은 프로그람보다도 문서형태로 되여 있다. 

3. 마크로비루스들은 매우 쉽게 전파된다. 가장 일반적인 방법은 전자우편에 의 
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거 하는것이다. 


마크로비루스들은 워드나 MicrosoftExel 과 같은 다른 사무처리응용프로그람에 있는 
특징 들을 리 용한다(이 름그대 로 마크로이 다). 본질에 있어서 마크로는 워 드가 처 리하는 
문서나 다른 파일형태에 매몰된 실행가능한 프로그람이다. 일반적으로 사용자들은 과제 
를 자동적으로 반복수행하기 위해 마크로를 리용하며 이것에 건누름동작을 기억시킨다. 
마크로언어는 보통 베 이지크프로그람작성 언어의 한 형식 이 다. 사용자는 마크로에 건누름 
렬을 정의하고 기능건이나 전문적인 짧은 건결합을 입력할 때 마크로가 호출되도록 설정 
할수 있다. 보통 자동실행가능한 사건들은 파일열기，파일 닫기，응용프로그람실행 이다. 
일단 마크로가 실행되면 비루스는 다른 문서에 자기자신을 복제하며 파일을 지우고 사용 
자의 체계에 여러가지 다른 피해를 줄수 있다. MicrosoftWord 에는 자동실행가능한 마 
크토로서 3가지 형태가 있다. 

• 자동실 행 : 자동실 행 이 라고 부르는 마크로가《 normal , dot 》형 타나 워 드를 설 치 
한 등록부에 기 억된 대 역 형타에 있으면 워 드가 시 작할 때 마다 항상 실행된다. 

• 자동마크로:문서를 열거나 닫고 새로운 문서를 만들거나 워드를 끝내는것과 같 
은 정의된 사건이 발생할 때마다 자동마크로가 실행된다. 

• 지령마크로:대역마크로파일에 있는 마크로나 문서에 붙어 있는 마크로가 워드지 
령 의 이 름을 가질 때 지 령 마크로는 사용자가 지 령 (즉 File Save ) 을 호출할 때 마 
다 항상 실행된다. 

마크로비루스가 전파되는 일반적인 방법은 다음과 같다. 자동마크로나 지령마크로는 
전자우편이나 디스크를 전송함으로써 체계에 들어 있는 워드문서에 전파된다. 문서를 연 
다음 어떤 순간에 마크로가 실행된다. 마크로는 대역마크로파일에 자기자신을 복사한다. 
워드의 다음 대화가 열릴 때 전염된 대역마크로가 동작한다. 이 마크로는 실행될 때 자 
가복제하며 피해를 준다. 

련속적인 워드의 실현들에서 마크로비루스에 대해 강한 보호가 제공되고 있다. 례를 
들어 Microsoft 회사는 의심스러운 워드파일을 검출하고 마크로로써 파일을 열 때 가능 
한 위험에 대해 사용자에게 경고하는 만능마크로비루스보호도구를 제공한다. 여러 분야 
의 항비 루스제 품판매자는 마크로비 루스를 검 출하고 정 정하는 도구들도 개 발하고 있 다. 
다른 형태의 비루스와 마찬가지로 마크로비루스분야에서도 경쟁이 계속되고 있다. 

항비루스방식 

비루스의 위협을 리상적으로 해결하는 방법은 예방하는것이다. 즉 비루스가 처음에 
체계에 들어 오지 못하게 하는것이다. 예방이 비루스의 성공하는 공격수를 줄일수는 있 
어도 보안목표를 달성하는것은 불가능하다. 더 좋은 방식은 다음과 갈다. 
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• 검출: 일단 전염이 일어 나면 비루스가 발생하였다고 보고 그것을 찾아 낸다. 

• 식별 : 일단 검출이 진행되면 전염된 파일 이 가지고 있는 특정한 비루스가 식별 



된 다. 

• 제거: 일단 특정한 비루스가 식별되면 전염된 파일로부터 모든 비루스들을 추적 
하여 제거하고 그것을 본래의 상태로 회복한다. 전염된 모든 체계로부터 비루스 
를 제거함으로써 병이 계속 전파될수 없게 한다. 

검출은 계속되지만 식별이나 제거를 할수 없으면 전염된 프로그람을 버리고 그대신 
깨끗한 예비판을 다시 넣는다. 

비루스기술과 항비루스기술의 개선은 밀접한 관계에 있다. 초기의 비루스는 비교적 
단순히 파괴 만 하는 부호였 으므로 단순한 항비 루스쏘프트웨 어 제 품으로써 식 별 하고 제 거 
할수 있었다. 비루스와 함께 《비루스무기경쟁》이 점차 발전할수록 항비루스쏘프트웨어 
도 필연적으로 더 종합적 이고 복잡하게 되였다. 

참고문헌 [ STEP 93] 에서는 항비루 스쏘프트웨 어의 4가지 생성 을 지적하였 다. 

• 1세대 :간단한 스캐 너 

• 2세대:발견적스캐너 

• 3세 대 :동작전략 

• 4세대 :완전한 보호 

1 세 대 스캐 너 는 비 루스를 식 별 하기 위해 비 루스서 명 을 요구한다. 비 루스는《 월 드카 
드》를 포함할수 있지만 본질상 모든 복사에서 갈은 구조와 비트패턴을 가진다. 이와 같 
은 서명-특정스캐너는 알고 있는 비루스만 검출한다. 1세대스캐너의 다른 형태는 프로그 
람의 크기 기 록을 보존하고 크기변화를 찾는것 이 다. 

2 세 대 스캐 너 는 특정 한 서 명 에 의 거 하지 않는다. 오히 려 예 상할수 있 는 비 루스전염 을 
찾는 탐색 규칙 을 리용한다. 이 런 스캐 너 의 한가지 콜라스는 흔히 비 루스와 관련된 부호 
의 파괴를 찾는다. 실례를 들어 스캐너는 다형성비루스에서 리용하는 암호순환의 시작을 
찾고 암호열쇠를 회복할수 있다. 일단 열쇠가 회복되면 스캐너는 비루스를 식별하기 위 
해 그것을 복호할수 있으며 다음 그것을 제거하고 봉사프로그람에로 돌아 간다. 

다른 2세 대방식 은 완정 성 검 사이 다. 검 사합을 매 프로그람에 첨 가할수 있 다. 비 루스 
가 프로그람에 전염 될 때 검 사합을 변화시 키 는것 이 매 우 복잡하도록 비 루스를 막기 위한 
암호화된 하쉬함수를 리 용할수 있 다. 암호열 쇠 는 비 루스가 새 로운 하쉬 부호를 생 성 하고 
그것을 암호화할수 없게 프로그람마다 따로따로 기억시킨다. 단순한 검사합보다도 하쉬 
함수를 리용함으로써 비루스가 이전과 같은 하쉬부호를 만들기 위해 프로그람을 조정하 
는것을 막는다. 

3 세 대 프로그람은 전염 된 프로그람의 구조보다도 오히 려 그의 작용에 의해 비 루스를 
식 별하는 기 억기상주프로그람이다. 이 와 갈은 프로그람은 넓은 비 루스령역 에 대 한 서 명 
과 람색수법을 개 발하는것 이 필요하지 않다는 우점을 가진다. 오히 려 그것은 전염동작 
을 가리키 는 작은 작용들의 모임 을 식 별 한 다음 그것 들을 조정 하는것 만이 필요하다. 

4 세 대 제 품은 접 속할 때 리용되 는 각이한 종류의 항비 루스기 술을 포함한 프로그람들 
이다. 이것은 조사하는것과 활동전략으로 구성되여 있다. 또한 이와 같은 프로그람은 체 
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계에 침입하는 비루스의 능력과 전염시키기 위해 파일들을 갱신하는 비루스의 능력을 제 
한하는 접근조종능력을 가지고 있다. 

《무기경쟁》은 계속되고 있다. 4세대제품과 함께 더 일반적 인 목적의 콤퓨터보안대 
응수단에 의한 방어 공간이 넓 어 지 면서 더 종합적 인 방어 전 략을 리 용할것 이 다. 

개선된 항비루스기술 

더 세련된 항비루스방식과 제품이 계속 출현하고 있다. 이 절에서는 두가지 가장 중 
요한것을 강조한다. 

일반적인 복호 

일반적 인 복호 ( GD ) 기술은 조사속도가 빠르면서도 매우 복잡한 다형성비루스까지도 
쉽게 검출할수 있는 항비루스프로그람을 만들수 있게 한다(참고문헌 [ NACH 97]). 다형 
성비루스에 전염된 파일이 실행될 때 비루스는 자기자신을 동작하기 위해 복호하여야 한 
다. 이 런 구조를 검출하기 위해 실행 가능한 파일들을 GD 스캐너를 통과하여 실행시키는 
데 GD 스캐너는 다음의 요소들로 이루어 진다. 

• CPU 모의기:쏘프트웨어에 기초한 가상콤퓨터이다. 실행가능한 파일에 있는 명령 
들은 하위처 리기 에서 실행되지 않고 모의기 에 의해 해석된다. 모의기는 하위처 
리기가 모의기에서 해석된 프로그람에 의해 영향을 받지 않도륵 모든 등록부들 
과 하드웨 어처 리기의 쏘프트웨 어판본을 포함한다. 

• 비 루스서 명 스캐 너 : 알고 있는 비 루스서 명 을 찾기 위해 목적 부호를 조사하는 모둘 
이다. 

• 모의기조종모듈:목적부호의 실행을 조종한다. 

매 모의 가 시 작될 때 모의기는 목적부호의 명 령을 해석 하기 시 작한다. 따라서 부호 
가 복호화하는 복호루린을 포함하고 있으면 그것이 해석되는 순간부터 비루스가 폭로 
되 게 된 다. 조종모둘은 주기 적 으로 비 루스서 명 에 대 한 목적 부호를 주사하기 위해 해 석 
을 중단한다. 

해석하는 동안은 목적부호가 완전히 조종되는 환경 에서 해석 되 므로 그것은 현재의 
개인용콤퓨터환경에 피해를 주지 않을수 있다. 

GD 스캐너설계의 가장 힘든 문제점은 매 해석이 얼마나 오래동안 실행되는가를 결 
정하는것이다. 일반적으로 비루스의 요소들은 프로그람이 실행을 시작하자마자 곧 활성 
화되지만 이것은 문제로 되지 않는다. 보다 풍부한 스캐너는 개별적인 프로그람을 모의 
하고 임의의 숨은 비루스를 발견한다. 그러나 항비루스프로그람은 제한된 시간과 자원의 
량만을 취하므로 사용자들의 요구를 충족시키지 못한다. 

수자면역체계 

수자면역체계는 IBM 이 개발한 비루스보호에 대한 종합적인 방식이다(참고문헌 
[ KEPH 97 a , KEPH 97 b ]). 이 개 발의 동기 는 인터 네 트에 기 초한 비 루스전파의 위협 이 심 
각해 진데 있다. 먼저 이 위협에 대해 간단히 고찰하고 IBM 의 방식을 개괄한다. 
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현재 비루스위협은 새로운 비루스와 새로운 변종의 비교적 느린 전파로 특징 지어 
진다. 항비루스쏘프트웨어는 일반적으로 월을 단위로 갱신되며 이것은 비루스문제를 조 
종하는데는 충분하였다. 현재는 인터네트를 통해서 비루스가 비교적 적게 전파된다. 그 
러 나 참고문헌 [ CHES 9 기 에 서 지 적한바와 같이 인 터네 트기 술에 서 의 두가지 주요한 추세 
는 앞으로 비루스전파속도에 주는 영향을 증가시킬것이다. 

• 통합전자우편체계 : Lotus Notes , Microsoft Outlook 와 같은 체계들에서는 그 
누구에게 임의의것을 보내거나 받은 객체로써 작업하는것이 매우 단순하다. 

• 이동성프로그람체계: Java 나 ActiveX 와 같은 체계들은 한 체계에서 다른 체계에 
로 프로그람들을 옮기게 한다. 

이러한 인터네트의 능력에 의해 생겨 난 위협에 대응하여 IBM 은 원형수자면역체계 
(Prototype Digital Immune System ) 를 개발하였다. 이 체계는 앞절에서 론의한 프로 
그람모의기 리용의 확장이며 일 반목적모의기 와 비루스검 출체계 를 제 공한다. 이 체계의 목 
표는 비루스들이 들어 오자마자 즉시 거의 제거할수 있도록 신속한 응답시간을 제공하는 
것이다. 새로운 비루스가 기관에 들어 오면 면역체계는 자동적으로 비루스를 포착，분석， 
검 출，차폐，제거하며 다른 곳에서 실행되 기전에 비루스를 검 출할수 있도록 IBM 
AntiVirus 를 실행하는 체계에 이 비루스에 대하여 알려 준다. 

그림 15-11 에 수자면역체계조작에서의 전형적인 단계를 보여 주었다. 

1. 개개의 PC 에 있는 감시조종프로그람은 체계의 행동，의심스러운 프로그람의 변 
화, 비루스가 나타날수 있다고 암시하는 서명계렬에 기초한 여러가지 발견적람 
색법을 리용한다. 감시조종프로그람은 기구내 에 있는 관리기 에 전염되 였다고 생 
각하는 임의의 프로그람의 복사를 발송한다. 

2. 관리기는 표본을 암호화하고 중앙비루스해석기에 그것을 보낸다. 

3. 이 콤퓨터 는 전염 된 프로그람을 안전하게 해 석할수 있는 환경 을 창조한다. 이 
목적 에 리용되 는 기 술들은 수상한 프로그람을 실 행 하고 조종할수 있는 보호된 
환경의 모의나 창조를 포함한다. 다음 비루스해석기는 비루스를 식별하고 제거 
하기 위한 지령을 만든다. 

4. 지령의 결과를 관리기에 되돌려 보낸다. 

5. 관리기는 전염된 의뢰기에로 지령을 발송한다. 

6. 기구내에 있는 다른 의뢰기에도 지령을 발송한다. 

7. 인 터네 트의 모든 가입 자들은 새 로운 비 루스로부터 보호하는 갱 신된 항비 루스프 
로그람을 정기적으로 받는다. 

수자면역체 계의 성 공여 부는 새 로운 비 루스변종을 검 출하는 비루스해석 기의 능력 에 
관계된다. 새로운 비루스들을 항상 해석하고 조종함으로써 위협을 받지 않게 수자면역쏘 
프트웨어 를 자주 갱 신하여 야 한다. 
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참고할 Web 싸이트들 

• CERT 조 종쎈 터 : 대 상과제 표 준 탐색 방 어 회 사 (Defense Advanced Research 
Projects Agency ) 가 운영하는 콤퓨터 긴급대 책림에서 나온 기구이 다. 싸이트는 
인터네트보안위협，약점，공격통계량에 대한 좋은 정보를 제공한다. 

• 항비루스직결 :비루스정 보에 대 한 IBM 의 싸이트로서 매우 편리하다. 


문 제 


1. 26개의 자모기호들중 4개의 기호를 취한 조합에서 통과암호를 선택한다고 하자. 
그리 고 적 수는 초당 통과암호를 한개 씩 시 험할수 있 다고 가정 하자. 

1) 매 시험 이 실현될 때까지 적 에게 로의 반결합은 없다고 가정한다. 정확한 통과 
암호를 발견하는데 얼마만한 시간이 걸리겠는가? 

!_) 매번 부정확한 문자가 입력될 때 적에게 오유를 통보하는 반결합체계라고 하 
면 이때 정확한 통과암호를 발견하는데 얼마만한 시간이 걸리겠는가? 

2. 어떤 방법으로 길이 k 인 원천원소들을 길이 p 인 목적원소들로 넘긴다고 가정하자. 
매 수자가 r 개의 값들중 한개를 취 할수 있다고 하면 원천원소의 수는 戶 이며 목적 
원소의 수는 보다 작은 수，이 다. 개개의 원천원소 x ᄎ는 개개의 목적원소 y ; 에 
로 넘어 간다. 

1) 적수가 단번에 정 확한 원천원소를 선택할수 있는 확률은 얼마인가? 

T ᅳ) 갈은 목적원소 y , ■로 되는 다른 원천원소 X , ( X ' x t ) 틀 적수가 만들어 낼수 
있는 확률은 얼마인가? 

n ) 적수가 단번에 정확한 목적원소를 만들수 있는 확률은 얼마인가? 

3. 음성통과암호생성기는 문자가 6개인 통과암호에 대하여 우연적으로 두개의 토막을 
선택한다. 매 토막의 형 태는 CVC (자음，모음，자음) 이며 여 기서 V =< a ， e ， i ， o , u > 
이고 C = ▽ 이 다. 

1) 통과암호는 모두 몇개인가? 

L ) 적수가 통과암호를 정확히 추측할 확률은 얼마인가? 

4. 통과암호로서는 95개의 볼수 있는 아스키부호만을 리용하며 모든 통과암호들의 길 
이 는 10문자이라고 가정한다. 통과암호크랙커 는 초당 640만번의 속도로 암호화한 
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다고 가정한다. UNIX 체계 에서 모든 가능한 통과암호들을 철저 히 남김 없이 검 사 
하는데 얼마나 긴 시간이 걸리겠는가? 

5. UNIX 의 통과암호체 계 가 위험하므로 SunOS -4.0 문서 화에서는 통과암호파일을 제 
거 하고 공개 적 으로 읽 을수 있는 / etc / publickey 라고 부르는 파일 로 교체 할것 을 
권고하고 있다. 사용자 A 의 파일에로의 입력자료는 사용자의 식별자 ID A ， 사용자 
의 공개열쇠 KU a ，대 응하는 비밀열쇠 KR a 이 다. 이 비밀열쇠는 사용자의 가입통과 
암호。로부터 만든 열쇠로 DES 를 리용하여 암호화한다. A 는 체계에 가입할 때 
KR a 를 얻 기 위 해 E Pa [ KR a ] 를 복호한다. 

1) 이때 체계는 己가 정확히 입력되였다는것을 검증한다. 어떻게 검증할수 
있 는가? 

L ) 적수는 이 체계를 어떻게 공격할수 있는가? 

6. UNIX 의 통과암호에서 리용하는 암호도식 은 한 방향성 이다. 이 것은 거꾸로 할수 
없다. 따라서 이것은 통과암호의 암호화라기보다도 사실상 하쉬부호라고 말하는 
것이 정확하지 않겠는가? 

7. UNIX 의 통과암호도식 에서 는 쏠트로서 4096의 인수를 리용함으로써 추측의 어 려 
움성을 증가시킨다고 할수 있다. 그러나 쏠트는 해당 암호문통과암호로서 같은 
입 력 자료에 평문으로 기 억된다. 따라서 이 두개 의 기 호들은 공격 자에 게 알려 질 
수 있으나 추측되지 말아야 한다. 왜 쏠트가 보안을 증가시킨다고 주장하는가? 

8. 당신이 앞의 문제를 성과적 으로 대 답하고 쏠트의 의미를 리해하였다고 가정 하면 
여기에 다른 물음이 있다. 말하자면 쏠트의 크기를 24 혹은 48 bit 로 극단적으로 
증가시 킴 으로써 모든 통과암호크랙커 들을 완전히 막는것 이 가능한가? 

9. 15.1 에 서 론의 한 블름려 과기 를 생 각하자. K : 하쉬함수의 수, N : 하쉬표에 서 비 트 
수， D : 사전의 단어 수라고 정 의한다. 

1) 령으로 초기화된 하쉬표에서 확장된 비트들의 수는 

卜 (1 -늣 

로서 표현된다는것을 증명하시오. 

L ) 사전에 없는 입력자료단어를 사전에 있는것으로 틀러게 받아 들일 확률은 
P =( l - 산)' 

이라는것을 증명하시오. 
n ) 앞의 식은 

례 - e_ kD/N ) k 

로서 근사화할수 있다는것을 증명하시오. 

10. 그림 15-8 의 비루스프로그람에는 약점이 있다. 그것은 무엇인가? 
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제 16 장. 방화벽 


방화벽은 광지 역망과 인터 네트를 통한 외부세계 에로의 접근을 제공하는 동시 에 망에 
기초한 보안위협으로부터 국부체계 나 망체계들을 보호하는 효과적 인 수단으로 될수 있다. 

방화벽의 기능과 설계원리를 개괄하는것으로부터 이 장을 시작한다. 다음으로 방화 
벽자체의 보안문제 특히 신용체계의 개념과 안전한 조작체계에 대하여 론의한다. 


16.1 방화벽의 설계원리 

회사나 정부기관 기 타 기 관들에 서의 정 보체 계 는 부단히 발전하여 왔다. 

• 직결된 많은 말단들을 지원하는 중앙주프레임을 가지는 중앙자료처리체계 

• PC 와 말단들을 서로 접속하고 이것들을 주프레 임에 접속하는 국부망 ( LAN ) 

• PC 들，봉사기들 그리고 대체로 한개 혹은 두개의 주프레 임 을 서 로 접속하는 많은 
LAN 들로 구성되는 전제망 

• 비 공개 광지역망 ( WAN ) 에 의해 서 로 접속되 여 있는 다중의 지 리 학적 으로 분산되 
여 있는 전제망들로 이루어 진 대규모망 

• 각이한 전제 망들이 인 터네 트에 모두 련결되 면서 도 비 공개 WAN 에 의해 접 속될수 
있거나 접속될수 없는 인터네트접속성 

대부분의 기 관들은 더 는 인터네 트접속을 마음대 로 할수 없게 되 였다. 가치 있는 정 
보들과 봉사들은 기 관에 서 필수적 인것 으로 된다. 더 우기 개 별적 인 사용자들은 인터네 트 
접근을 요구하거나 바라며 이것이 자기들의 LAN 을 통해 제공되지 않으면 자기들의 PC 
로부터 인 터네 트봉사제 공자 ( ISP ) 에 게 전화를 걸 수 있 는 자격 을 리용할것 이 다. 그러 나 
인터네트접근은 기 관에 리 익을 제공해 주는 한편 외부세계 가 국부망에 련결되 여 호상작 
용할수 있게 한다. 이것은 기관에 위협을 준다. 전제망에 있는 개개의 봉사기에 침입보 
호와 같은 강력한 보안특성 을 부여하는것 은 실천적 인 방법 으로는 되 지 못한다. UNIX 
그외 에 Windows 95，98, NT 의 각이 한 판본을 실행 하는 수백 개 지 어 수천개의 체 계들 
을 가지고 있는 망을 생각한다. 보안결함을 발견하였을 때 영 향을 받을 가능성 이 있는 
개개의 체계는 이 결함을 고치기 위해 개량하여야 한다. 점차적으로 많이 취하는 대안이 
방화벽 이다. 조종련결 을 확립한 다음 외 부보안벽 이 나 돌출부를 설 치 하기 위해 방화벽 을 
전제 망과 인 터네 트사이 에 배 치한다. 돌출부의 목적 은 전제 망을 인 터네 트에 기 초한 공격 
으로부터 보호하는것 이며 보안과 검 열을 맡은 단일조절점 을 제 공하는것 이 다. 방화벽은 
단일콤퓨터체 계 로 되거 나 방화벽의 기능을 수행 하기 위해 서 로 협동하는 두개 혹은 그이 
상의 체계모임으로 될수 있다. 

이 절에서는 방화벽의 형태들에 대한 고찰로부터 시작하여 가장 일반적인 방화벽의 
몇가지 구성 방법을 고찰한다. 
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방화벽의 특성 

참고문헌 [ BELL 94] 에는 다음과 갈은 방화벽의 설계목표가 계시되였다. 

1. 내 부로부터 외 부에 로 혹은 그 반대방향으로의 모든 통신은 방화벽 을 통과하여 야 
한다. 이것은 방화벽을 거치지 않는 국부망에 대한 모든 접근을 물리적으로 차단 
함으로써 달성할수 있다. 여 러 가지 구성 방법 들이 있을수 있다. 

2. 국부보안방책 에 의해서 정의되는 권한을 가진 통신만이 통과할수 있게 된다. 여 
러가지 형 태의 방화벽들의 리용에 기초하여 여 러 가지 형 태의 보안방략들이 실현 
된 다. 

3. 방화벽은 그 자체가 침투에 대한 면역을 가진다. 이것은 안전한 조작체계를 가진 
신용체 계 를 리 용한다는것 을 의 미한다. 이 문제 는 2절 에 서 론의한다. 

참고문헌 [ SMIT 9 기 에서 는 접 근조종과 싸이 트의 보안방략을 강화하는데 방화벽 들을 
리용하는 일 반적 인 4가지 기 술을 서 술하였 다. 원 래 방화벽 들은 기 본적 으로 봉사조종에 
초점을 두었지만 그후 그것들은 모두 4가지 기술을 제공하는데로 발전하였다. 

• 봉사조종:이것은 접근할수 있는 인터네트의 봉사형태를 결정한다. 방화벽은 IP 주 
소나 TCP 포구번호에 기초하여 통신을 려과하거나 방화벽을 통과하기전에 매 봉 
사요구를 받아 해 석하는 대 리쏘프트웨어 를 제 공할수 있 으며 Web 나 전자우편봉 
사와 같은 봉사기 쏘프트웨어 에 직 접 가입할수 있 다. 

• 방향조종:이것은 개별적인 봉사요구들이 방화벽을 통해 접수되여 흐르게 되는 방 
향을 결 정 한다. 

• 사용자조종:이것은 봉사에로의 접근을 조종하는데 그에 따라 사용자는 접근하려 
한다. 이 기능은 일반적으로 방화벽의 돌출부안에 있는 사용자(국부사용자)에게 
적용된다. 그것은 또한 외부사용자로부터 들어 오는 통신에 적용될수도 있으며 
후자는 IPSec (13 장)에서 제공한것과 같은 안전한 인증기술의 어떤 형식을 요구 
한다. 

• 거동조종:이것은 개별적인 봉사들의 리용되는 방법을 조종한다. 례를 들어 방화 
벽은 전자우편을 려과하여 스팸을 제거 할수 있으며 국부 Web 봉사에서의 일부 정 
보에 만 외부접근을 허용한다. 

방화벽의 형태와 구성을 구체적으로 보기전에 방화벽에서 기대할수 있는것이 무엇인 
가를 개괄해 보자. 다음의 기준들은 방화벽의 범위내에 속한다. 

1. 방화벽은 권한이 없는 사용자들을 보호된 망밖에 있게 하며 공격당하기 쉬운 봉 
사들이 망에 들어 오거나 나가는것을 금지하는 단일조절점을 정의하며 IP 기만이 
나 경 로조종공격과 같은 각이한 공격으로부터 보호한다. 단일조절점의 리용은 단 
일체 계 나 체 계묶음에서 보안능력 들이 통합정 리되 므로 보안관리 를 단순화한다. 

2. 방화벽은 보안과 관련한 사건들을 감시조종하기 위한 위치를 제공한다. 방화벽체 
계에서는 검열과 경보가 실현될수 있다. 

3. 방화벽은 관련되는 보안이 없는 여러 인터네트기능들에 편리한 가동환경으로 된 
다. 이러한 기능들로는 국부주소를 인터네트주소로 넘기는 망주소번역기와 인터 
네트사용을 검열하거 나 기록하는 망관리기능을 들수 있다. 
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4. 방화벽 은 인 터네 트규약보안 ( IPSec ) 에 대 한 가동환경 으로서 봉사할수 있 다. 13장 
에 서 서 술한 통로방식 자격 을 리 용하면 방화벽 은 가상적 인 비 공개 망을 실현하는데 
리용할수 있다. 

방화벽에는 다음과 같은 제한성들이 있다. 

1. 방화벽은 그것 을 우회하는 공격들을 막을수 없다. 내부체 계는 ISP 에 대 한 접속 
능력 을 전화접 속해 제할수 있 다. 내 부 LAN 은 려행 자들과 원격 콤퓨터 들의 전화 
접속능력을 제공하는 모뎀묶음을 지원할수 있다. 

2. 방화벽은 불만을 품은 사용자나 자기도 모르게 외부공격 자에게 역 리용 당하는 
사용자와 같은 내부위협 에 대 하여 보호할수 없다. 

3 . 방화벽은 비루스에 전염된 프로그람이나 파일이 전송되는것을 막을수 없다. 돌 
출부안에 서 지 원되 는 응용프로그람들과 조작체 계 의 다양성 으로 하여 방화벽 이 
비루스에 전염되여 들어 오는 모든 파일이나 전자우편，통보문을 조사하는것은 
비현실적이며 거의나 불가능하다. 

방화벽의 형태 

참고문헌 [ SEME 96] 에 기 초하여 그림 16-1 에 방화벽 의 세 가지 일 반형태 즉 파케 트러 과 
기，응용준위 관문，회 선준위관문에 대 하여 보여 주었는데 그 형 태들을 차례 로 고찰하면 
다음과 갈다. 


파케트러과경로조종기 

파케트러과경로조종기는 들어 오는 매 IP 파케트에 대 하여 규칙모임을 적용한후 파 
케트를 전송하거 나 거부한다. 경로조종은 일반적으로 두 방향(내부망으로부터와 내부망 
에로)에서 오는 파케트들을 려과한다. 려과규칙들은 원천지와 목적지의 IP 주소， IP 규약마 
당 (전송규약을 정 의하는) 과 TCP 혹은 UDP 포구번 호 (SNMP 혹은 TELNET 와 같은 응 
용프로그람을 정 의하는) 를 포함하는 IP 마당들과 전송머 리 부(즉 TCP 나 UDP ) 에 기 초하 
고 있다. 

파케 트려과는 일 반적 으로 IP 혹은 TCP 머 리 부에 있는 마당들을 대 조하는데 기 초한 
규칙 목록으로 설정한다. 어 느한 규칙 과 대 조될 때 그 규칙 은 파케 트를 전송하거 나 거 부 
하겠는가를 결정하게 된다. 그 어느 규칙과도 대조되지 않으면 기정동작을 취한다. 두가 
지 기 정방책 이 있을수 있 다. 

• Default = discard ： 명백히 허락되지 않은것은 금지한다. 

• Default = forword ： 명백히 금지되지 않은것은 허락한다. 

기정거부방책이 더 신중하다. 초기에는 무엇이나 다 블로크화되며 봉사들은 경우에 
따라 토대에 첨가되여야 한다. 이 방책은 방화벽을 방패처럼 여기는 사용자들에게는 매 
우 명백하다. 기정전송방책은 말단사용자의 편리성을 도모하지만 약한 보안을 제공하며 
보안관리자는 요컨대 알려 질 때마다 매번 새로운 보안위협에 대응하여야 한다. 

참고문헌 [ BELL 94] 에 주어 진 표 16-1 이 파케 트려 과규칙 모임 의 한가지 실례 이 다. 
매 모임 에서 규칙들은 우에서 아래 로 적용된다. 마당에서 《*》은 아무것 이 나 다 대조되 
는 월 드카드지 정 자이 다. 기 정 =거 부방책 이 성 립 한다고 가정 한다. 
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이 회선-준위 관문 
그림 16-1. 방화벽의 형태 


1) 돌아 가는 우편은 관문가입 자에 대 해서 만 허 락된다(포구 25는 SMTP 가입 을 위한 
것이다). 그러나 개개의 외부가입자 즉 SPIGOT 로부터 오는 우편은 그 가입자가 
전자우편통보문들에 용량이 큰 파일들을 보내는 리력을 가지고 있기때문에 블로크 
화된다. 

L ) 이것은 기정방책 에 대 한 명시적서술문이다. 모든 규칙모임 들은 마지 막규칙 으로서 
이 규칙을 무조건 포함한다. 

n ) 이 규칙모임 은 임 의의 내 부가입 자가 외부가입 자에 게 우편을 보낸다는것 을 설명한 
다. 목적지포구가 25인 TCP 파케트는 목적지에 있는 SMTP 봉사기에로 발송된다. 
이 규칙 에서 문제 는 SMTP 수신때 포구 25를 리 용하는것 이 유일 한 결점 이라는것 이 
다. 이 규칙에 씌여 진것처럼 공격자는 TCP 원천포구번호 25를 가지는 파케트를 
보냄으로써 내부기계에 접근할수 있다. 

근) 이 규칙모임은 도 에서 달성되지 못한 목적 결과를 달성하게 한다. 규칙들은 TCP 접 
속기능의 우점 을 리용한다. 일 단 접 속이 설정 되 면 TCP 토막의 ACK 기 발은 다른 
곳에서 보낸 응답토막에 설정된다. 그러므로 이 규칙모임은 원천지 IP 주소가 지정 
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이 도식은 체계를 적당한 포구번호만 리용하여 구성할것을 요구한다. 

규칙모임 n 은 파케트러과준위 에서 응용프로그람을 처 리 하기 가 힘들다는것을 지적한 
다. FTP 와 그런 류형의 응용프로그람들을 취급하는 다른 방법은 응용프로그람준위의 
관문이 다. 

파케트러 과경 로조종기 의 한가지 우점 은 그것 이 간단하다는것 이 다. 또한 파케트러 과 
는 일 반적 으로 사용자들이 알기 쉬 우며 매 우 빠르다. 결 함은 파케트러 과규칙 을 정 확히 
설정하는것 이 힘 들며 인증이 필요하다는것 이 다. 

참고문헌 [ SEME 96] 에서는 파케트-려과경로조종기에 대해서 있을수 있는 일부 공격 
과 이 에 적 합한 대 응수단들을 서술하였다. 즉 

• IP 주소속이기 :침입자는 외부에서 내부가입자의 주소가 들어 있는 원천지 IP 주소마 
당으로 파케트를 전송한다. 공격자는 주소를 속여 넘기는 방법으로 명백히 신용 
되는 내부가입자들의 파케트들을 허 락하는 단순한 원천지주소보안을 취하는 체 계 
에 침입하려고 한다. 대응수단은 파케트가 외부대면을 통해 도착하였다면 내부원 
천지주소로 그 파케트들을 거부하는것 이 다. 

• 원천경 로조종공격 :원천국은 원천지경 로조종정 보를 분석하지 않는 보안수단을 우 
회하기를 바라면서 파케트가 인터네트로 넘어갈 때 통과해야 할 경로를 서술한 
다. 대응수단은 이 선택을 리용하는 모든 파케트들을 거부한다. 

• 작은 토막공격 :침입자는 매우 작은 토막을 만들고 분리된 파케트토막에서 TCP 
머 리 부정 보를 절 취 하기 위해 IP 토막화선택 을 리 용한다. 이 공격 은 TCP 머 리 부정 
보에 관한 려과규칙들을 우회하도록 설계된다. 공격 자는 첫번째 토막만이 려과경 
로조종에 의해 조사되고 나머지토막은 그냥 통과될것을 바란다. 작은 토막공격은 
규약형태가 TCP 이고 IP 토막편차가 1과 같은 모든 파케트들을 거부함으로써 막 
을수 있다. 


응용준위 관문 

대 리봉사기 라고도 부르는 응용준위관문은 응용준위전송의 대 리봉사기 로서 작용한다 
(그림 16-1 의 니. 사용자는 Telnet 나 FTP 와 같은 TCP / IP 응용을 리용하는 관문에 접속 
하며 관문은 접근할수 있는 원격가입자의 이름을 사용자에게 요구한다. 사용자가 응답하 
고 정당한 사용자 ID 와 인증정보를 제공할 때 관문은 원격가입자의 응용을 접속하며 두 
말단지점사이의 응용자료를 포함하는 TCP 토막들을 중계한다. 관문이 명확한 응용프로 
그람에 대한 대리코드를 실현하지 않으면 봉사는 지원되지 않으며 방화벽을 통해 전송할 
수 없다. 더우기 관문은 망관리자가 다른 모든 특징을 거부하지만 접수할수 있다고 생각 
하는 응용프로그람의 명백 한 특징만을 지 원하도록 구성할수 있다. 

응용준위관문은 파케트러 과보다 더 안전할수 있 다. TCP 와 IP 준위 에 서 허 락되 거 나 
금지 되 는 여 러개의 가능한 조합의 취 급이 아니 라 응용준위관문은 몇 개의 허 락할수 있는 
응용들만을 세밀히 조사할것을 요구한다. 게다가 응용준위에서는 수신한 모든 통신량을 
검 열 하고 기 록 ( log ) 하는것 이 쉽다. 

이러한 관문형태의 주요한 결함은 접속할 때마다 매번 추가적인 부가처리가 있다는 
것이다. 사실상 련결점에 관문을 가지고 있는 말단사용자들사이에는 련결된 두개의 접속 
이 있으며 관문은 두 방향에서 모든 통신을 보내고 조사하여 야 한다. 
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회 선준위 관문 

방화벽의 세번째 형태는 회선준위관문이다(그림 16-1 의 n ). 이것은 단독체계로 될 
수 있거 나 혹은 어떤 응용에 대 해서는 응용준위관문이 수행하는 특수한 기능으로 될수 
있 다. 회 선준위관문은 말단과 말단사이 의 TCP 접 속을 허 락하지 않는다. 그대 신 관문은 
두개의 TCP 접속 즉 자기자신과 내부가입자우의 TCP 사용자와의 접속 및 자기자신과 외 
부가입 자에 있는 TCP 사용자와의 접속을 설정한다. 일단 두 접속이 확립되 면 관문은 일 
반적 으로 내 용을 조사하지 않고 한개 의 접 속으로부터 다른 접 속에 로 TCP 토막을 중계한 
다. 보안기 능은 어 느 접 속들을 허 락하겠는가를 결정하는것 이 다. 

회선준위관문의 일반적 인 리용은 체계관리자가 내부사용자들을 믿는 경우이 다. 관문 
은 안으로 들어 오는 접 속에 대 한 응용준위 혹은 대 리봉사와 밖으로 나가는 접 속에 대 한 
회 선준위 기 능을 지 원 하도록 구성할수 있 다. 이 구성 에 서 관문은 금지 된 응용자료가 들어 
오는 경우이것을 조사하는 처리를 진행할수 있지만 나가는 자료에 대해서는 이러한 처 
리 를 진 행하지 않는다 . 

회 선준위관문의 실현실례 는 SOCKS 제 품이 다(참고문헌 [ KOBL 9 幻 ) . SOCKS 의 제5 
판은 RFC 1928에 정의되 여 있다. RFC 는 다음과 같은 방식 으로 SOCKS 를 정의한다. 

SOCKS 에 서 술된 통식 규약은 망방화벽 의 봉사들을 편 리하게 그리 고 안전하게 리 용하기 
위 해 TCP 와 UDP 령역 에서 의뢰 기-봉사기 응용프로그람에 프레 임워크를 제공하도록 설계한다. 
규약은 개 념적 으로는 응용층과 전송층사이의 “쐐기 층” 이 며 이것만으로는 ICMP 통보문을 
전송하는것과 갈은 망층관문봉사들을 하지 못한다. 

SOCKS 는 다음의 구성요소를 포함한다. 

• UNIX 에 기 초한 방화벽 에 서 실 행하는 SOCKS 봉사기 

• 방화벽 에 의해 보호되 는 내부가입 자에서 실행하는 SOCKS 의 뢰기서 고 

• FTP 와 TELNET 와 같은 여 러 가지 표준의 뢰 기 프로그람의 SOCKS 판본들, 
SOCKS 규약은 일 반적 으로 SOCKS 서 고에 있는 대 응하는 밀봉루린을 리용하여 
TCP 에 기초한 의뢰기 응용프로그람을 재를파일하거 나 재 련결함으로써 실현된다. 

TCP 에 기초한 의뢰기가 방화벽을 통해서만 도달할수 있는 객체에 접속하려고 할 
때 그것은 SOCKS 봉사기 체 계 에서 대 응하는 SOCKS 포구에 TCP 접속을 하여 야 한다. 
SOCKS 봉사는 TCP 포구1080에 위 치 하고 있다. 접속요구가 성 공되 면 의뢰기 는 리용할 
인증방법 에 대 한 교섭 을 시 작하며 선택한 방법 으로써 인증한 다음 중계 요구를 보낸 다. 
SOCKS 봉사기 는 요구를 평 가하고 적 당한 접 속을 확립하든가 확립하지 않는다. UDP 교 
환도 류사한 방식으로 조종한다. 본질적으로 TCP 접속은 UDP 토막을 송신하고 수신하는 
사용자를 인증하기 위해 열려 져 있으며 UDP 토막은 TCP 접속이 열려 져 있는동안 전송 
된 다. 


요새가입자 

요새 가입 자는 망보안의 림 계 강도점 으로서 방화벽 관리 자에 의 해 식 별되 는 체 계 이 다. 
일 반적 으로 요새 가입 자는 응용준위 나 회 선준위관문에 대 한 가동환경 으로 봉사한다. 요새 
가입 자의 일반적 인 특성은 다음과 갈다. 
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• 요새가입자의 하드웨어가동환경은 믿음직한 체계인 안전한 조작체계판본을 실행 
한다. 

• 망관리자가 본질적이라고 생각하는 봉사들만이 요새가입자에 설치된다. 이것들은 
Telnet , DNS , FTP , SMTP , 사용자인증과 같은 대 리응용프로그람을 포함한다. 

• 요새가입자는 사용자가 대 리봉사에 접근하기전에 추가적 인 인증을 요구할수 있다. 
게 다가 매 대 리봉사는 사용자접근을 허가하기전에 그것들자신의 인증을 요구한다. 

• 매 대 리 인은 표준적 인 응용지 령모임의 부분모임만을 지원하도록 구성된다. 

• 매 대 리 인은 명 백 한 가입 자체 계 에 만 접 근하도록 구성 된 다. 이 것 은 제 한된 지 령 / 
특징 모임 이 보호된 망에 있는 체 계의 부분모임 에 만 적 용된다는것을 의 미한다. 

• 매 대 리 인모둘은 망보안을 위해 특별히 설계 된 매 우 작은 쏘프트웨어 제품이 다. 
이것은 비교적 간단하므로 이와 같은 모둘에 대한 보안결함을 쉽게 검사할수 있 
다. 실례로 전형적인 UNIX 의 전자우편응용프로그람은 20000개이상의 코드행을 
포함하지 만 전자우편대 리프로그람은 1000개 이하의 코드행 을 포함한다(참고문헌 
[ SEME 96]). 

• 매 대 리 인은 요새 가입 자의 다른 대 리 인과 독립 이 다. 임 의 의 대 리 인의 조작상문제 
가 있거나 앞으로 약점이 발견되여 그것이 다시 설치될 때 다른 대리응용프로그 
탐의 조작에 영 향을 미치지 않게 할수 있다. 또한 사용자집 단이 새 로운 봉사에 
대 한 지 원을 요구하면 망관리 자는 요새 가입 자에 요구하는 대 리 인을 쉽게 설치할 
수 있다. 

• 대 리 인은 일 반적 으로 초기 구성파일 을 읽 는 경 우외 에 는 디 스크에 접 근할수 없 다. 
그러므로 침입자가 요새가입자에 트로이목마람지기 혹은 다른 위험한 파일들을 
설 치할수 없게 된다. 

• 매 대리인은 비특권사용자로서 요새가입자의 비공개적이며 안전한 등록부에서 실 
행된 다. 


방화벽의 구성 

단일파케트러 과경 로조종기 혹은 단일관문과 같은 단일 체 계 로서 간단히 구성 되 는외 에 
(그림 16-1) 더 복잡한 구성 들도 가능하다. 참고문헌 [ STEM 96] 의 그림 에 기 초한 그림 
16-2 는 3가지 일반적 인 방화벽의 구성을 보여 준다. 그것을 차례로 고찰하자. 

차단가입자방화벽，단일흠요새의 구성 (그림 16-2 의 자)에서 방화벽은 두 체계 즉 파 
케트러 과경 로조종기 와 요새 가입 자로 이 루어 진다. 일 반적 으로 경 로조종기 는 다음과 같이 
구성된다. 

1. 인터네 트로부터 의 통신에 대 해서 는 요새 가입 자에 게 로 지정된 IP 파케 트들만 받아 
들인다. 

2. 내부망으로부터의 통신에 대해서는 요새가입자로부터 오는 IP 파케트들만 내보낸다. 

요새가입자는 인증과 대리 인기능을 수행한다. 이 구성은 단순한 파케트려과경로조종 
기 나 응용준위관문보다 두가지 리유로 보다 좋은 보안을 할수 있 다. 첫째 로，이 구성 이 
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려과의 파케트준위와 응용준위를 다 실현함으로써 보안방책의 정의에서 유연성을 현저히 
증가시 킨다는것 이 다. 둘째 로，침 입 자는 내 부망보안을 약화시 키 기 위 해 일반적 으로 두개 
의 분리된 체계에 침투하여야 한다는것이다. 

이 구성도 직접적 인 인 터 네 트접 근을 제 공할 때 유연성 을 가진 다. 례를 들어 내 부망 
은 고준위보안이 요구되 지 않는 Web 봉사기 와 같은 공개 정 보봉사기 를 포함할수 있 다. 
이 경 우에 경 로조종기 는 정 보봉사기 와 인터네 트사이 에 직 접 통신하도록 구성할수 있다. 

방금 서술한 단일홈구성에서 파케트러과조종기가 매우 위태롭게 되면 통신은 비공개 
망에서 인터네트와 다른 가입자사이에 경로조종기를 통해 직접 진행할수 있을것이다. 차 
단된 가입자방화벽，쌍홈요새구성은 보안위반과 같은 침입을 물리적으로 못하게 한다(그 
림 16-2 의 u ). 앞의 구성에서의 쌍보안층의 우점을 여기서도 찾아 볼수 있다. 또한 정 
보봉사기나 다른 가입자들은 이것이 보안방책과 부합되면 경로조종기와 직접 통신하게 
할수 있다. 



f ) 차단된 가입자방화벽채계 (단일흠요새 가입 자) 



니차단된 가입자방화벽채 게 (쌍홈요새가입자) 



디차단된 부분망 방화벽채계 


그림 16-2. 방화벽의 구성 
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그림 16-2 의 도의 차단된 부분망방화벽의 구성은 지금까지 고찰한것들가운데서 가 
장 안전하다. 이 구성 에서 는 두개의 파케 트러 과경 로조종기 즉 요새 가입 자와 인터네 트사 
이에 있는것과 요새가입자와 내부망사이에 있는것을 리용하였다. 이 구성은 고립된 부분 
망을 만드는데 이 부분망은 단순히 요새가입자로 이루어 질수 있지만 한개 혹은 그이상 
의 정 보봉사기 들과 전화접 속자격 을 주는 모뎀 들을 포함할수 있 다. 일 반적 으로 인터네 트 
와 내부망은 둘다 차단된 부분망에서 가입자에 대한 접근을 가지지만 차단된 부분망을 
통한 통신은 블로크화된다. 이 구성은 다음과 갈은 우점을 가진다. 

• 침입자를 막는 3개의 방어준위가 있다. 

• 외부경 로조종기는 인터네트에 차단된 부분망의 존재 에 대 해서 만 알려 준다. 따라 
서 내 부망은 인 터네 트에 공개 되 지 않는다. 

• 마찬가지로 내부경로조종기는 내부망에 차단된 부분망의 존재에 대해서만 알려 
준다. 따라서 내부망체계는 인터네트에 대 한 직접경 로를 구성할수 없다. 


16.2 신용체계 

침입자와 불순한 프로그람을 막는 체계의 능력을 높이는 한가지 방법은 신용체계기 
술을 실현하는것이다. 이 절에서는그에 대한 간단한 개요를 준다. 먼저 자료접근조종의 
일 부 기 본개 념 을 고찰하는것 으로부터 시 작한다. 

자료접근조종 

가입하는데 성공한 사용자는 하나의 가입자나 응용프로그람 혹은 이것들의 모임에 접 
근할수 있다.일반적으로 자기 자료기지에 민감한 자료를 포함하는 체계에 대해서는 이것만 
으로는 불충분하다. 사용자접근조종절차를 통하여 사용자는 체계와 결합될수 있다. 매 사 
용자와 관련한 허용된 조작과 파일접근을 기록한 개요파일이 체계에 있을수 있다. 조작체 
계는 다음 사용자개요에 기초한 규칙들을 실시할수 있다. 그러나 자료기지관리체계는 특정 
의 레코드나 지어 레코드들에 대한 접근도 조종하여야 한다. 례를 들어 행정관리에서는 아 
무사람이나 회사성원의 목록을 엄을수 있지만 선택된 사람들만이 월생활비정보에 접근할수 
있다. 이것은 한 계단 더 상세한 준위이다. 조작체계는 사용자에게 그이상 더는 보안검사 
가 없는 파일에로의 접근이나 응용프로그람의 리용을 허락하게 하는 반면에 자료기지관리 
체계는 매 개별적인 사람의 접근시도에 대해 결정하여야 한다. 그 결정은 사용자의 신분뿐 
아니라 접속하는 자료의 특정한 부분 지어 이미 사용자에게 폭로된 정보에도 관계될것이다. 

파일 이 나 자료기지관리체계 가 리용하는 접 근조종의 일반적 인 모형은 접근행렬 이 다 
(그림 16-3 의 1). 이 모형의 기본요소는 다음과 같다. 

• 주동체: 객체에 접근할수 있는 실체이다. 일반적으로 주동체의 개념은 처리와 같 
다. 임의의 사용자나 응용프로그람은 실제로 이것들을 나타내는 처리에 의해 객 
체 에 대 한 접근을 엄는다. 

• 객체: 접근이 조종되는 임의의것. 실례로 파일, 파일의 부분，프로그람, 기억기 
토막을 들수 있다. 

• 접근권: 주동체에 의해 대상에 접근하는 방법. 실례로 읽기，쓰기，실행을 들수 
있 다. 
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프로그람 1 … 토막 A 토막 B 


읽기 

실행 


읽기 

쓰기 





읽기 






T ) 접근행렬 


프로그람에 대한 접근조종목록: 

처리공정 1( 읽기，실행) 

토막 A 에 대한 접근조종목록: 

처 리 공정 1( 읽 기，쓰기 ) _ 

토막 묘에 대 한 접근조종목록: 

처리공정 2( 읽기)_ 


L ) 접근조종목록 


처리공정 1에 대한 자격목록: 

프로그람 1( 읽기,실행) 

토막 A (읽기,쓰기) _ 

처리공정 2에 대한 자격목록: 

토막 B (읽기)_ 


c ) 자격목록 
그림 16-3. 접근조종구조 


행 렬의 한 축은 자료접 근을 시 도할수 있는 식 별된 주동체 들로 구성되 여 있다. 일 반 
적 으로 이 목록은 접 근이 사용자대 신에 혹은 사용자와 함께 말단,가입 자,응용프로그람에 
대해 조종될수 있어도 개별적인 사용자나 사용자그룹으로서 구성된다. 다른 축은 접근할 
수 있는 대상들을 렬거 한다. 매 우 상세한 수준에서 대상들은 개 별적 인 자료마당으로 될 
수 있다. 레코드，파일，지어 전체 자료기지와 같이 매우 집합된 그롭들도 행렬에서 대 
상으로 될수 있다. 행 렬에서 매 항목은 대상에 대 한 주동체의 접근권을 가리킨다. 

현실에서 접근행렬은 보통 드물게 쓰이며 두 방법들중 한가지 분해방법으로 실현된다. 
행렬이 행으로 분해되면 접근조종목록들이 얻어 진다(그림 16-3 의 i _). 즉 매 대상에 대해 
서 접근조종목록은 사용자들과 그들의 허용된 접근권을 렬거한다. 접근조종목록은 음적 혹 
은 공개적인 항목을 포함한다. 이것은 특권을 가진것으로 명백히 렬거되지 않은 사용자 
들이 음적권한모임을 가지게 한다. 목록의 요소들에는 사용자들의 그룹이나 개별적인 사 
용자들이 속할수 있다. 

렬에 의한 분해 로 자격중들을 만든다(그림 16-3 의 n ). 자격증은 권한이 있는 객체들 
과 사용자에 대한 조작들을 서술한다. 매 사용자는 표번호를 가지며 그것을 다른 사람에 
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게 빌러 주거나 줄수 있는 권한을 가질수 있다. 표들은 체계주위에 분산될수 있으므로 그 
것들은 접근조종목록보다 더 큰 보안문제를 야기시킨다. 특히 표는 위조할수 없는것이여 
야 한다. 위조하지 못하게 하는 한가지 방도는 사용자들의 이름으로 모든 표들을 장악한 
조작체계를 가지는것이다. 이 표들은 사용자들이 접근하기 힘든 기억령역에 있어야 한다. 

신용체계의 개념 

우리가 지금까지 론의한 많은것은 사용자에 의한 피동 혹은 능동적공격으로부터 주 
어 진 통보문이 나 항목을 보호하는것과 련관되여 있다. 조금 다르지만 널리 응용할수 있 
는 요구는 보안준위에 기초하여 자료나 자원을 보호하는것이다. 이것은 보통 군사분야에 
서 찾아 볼수 있는데 여기서는 정보를 비밀이 아닌것 ( U )， 신용이 있는것 ( C )， 비밀인것 
( S )， 최고비밀인것 ( TS ) 기타로 분류한다. 이 개념은 다른 령역에 똑같이 응용할수 있는 
데 여 기서 는 정 보를 크게 몇 가지 부류로 나누고 사용자들에 게 일정한 부류의 자료의 접 
근에 대한 통과허가를 줄수 있다. 례를 들어 가장 높은 보안수준은 회사관리들과 부원들 
만이 접근할수 있는 전략적준위의 중요한 회사의 계획문서와 자료가 될수 있다. 다음 개 
별적인 관리인，회사직원 등만이 접근할수 있는 중요한 재정자료와 개인자료가 될수 있다. 

자료의 다중분류나 준위를 정의할 때의 보안은 다중준위보안에 귀 착된다. 다중준위 
보안에 대한 일반적인 한가지 요구는 높은 준위의 주동체는 권한이 있는 사용자의 의사 
를 정 확히 반영하지 않는 한 준위 가 낮거 나 비 교되 지 않는 주동체 에 로 정 보를 전 달할수 
없다는것 이다. 실현목적에서 이 요구는 두가지 부분으로 되여 있으며 간단히 규정된다. 
다중준위 안전체 계 는 다음의 규칙 을 실 시 하여 야 한다. 

• 이상 읽지 못한다. (No read up ): 주동체는 보안준위가 낮거나 갈은 대상을 읽을수 
만 있다. 이것은 단순보안속성의 연구에 귀착된다. 

• 이하 쓰지 못한다. (No write down ): 주동체는 보안준위가 높거나 같은 대상에만 
쓸수 있다. 이것은 문헌들에서 *- 속성으로 표시한다. 

이 두가지 규칙을 정확히 실시하면 다중준위보안을 실현할수 있다. 자료처 리체 계 에 
서 취급하였으며 많은 연구와 개발의 대상이였던 방식은 참조감시기개념에 기초한것 이다. 
이 방식 을 그림 16-4 에 제시하였다. 참조감시 기는 를퓨터의 하드웨 어와 조작체계 에서 주 
동체와 객체의 보안파라메터들에 기초하여 대상에 대 한 주동체의 접근을 규정하는 조종 
요소이다. 참조감시기는 매 객체의 보호속성 (등급준위)과 매 주동체의 접근특권(보안통 
과허 가) 을 렬 거하는 보안핵 심 부자료기 지파일 에 접 근한다. 참조감시기 는 보안규칙 들 (no 
read up , no write down ) 을 실시 하며 다음의 속성 들을 가진다. 

• 완전조정 :보안규칙들을 모든 접근에 대해 실시하지만 실례를 들어 파일을 열 때와 
같이 꼭 그런것만은 아니다. 

• 고립:참조감시기와 자료기지는 권한이 없는 변경으로부터 보호된다. 

• 검중능력:참조감시기의 정확성은 증명할수 있어야 한다. 이것은 참조감시기가 보안 
규칙들을 실시하며 완전조정과 고립을 제공한다는것을 수학적으로 보여 줄수 있어야 
한다는것 이 다. 

이것은 강한 요구들이다. 완전조정 에 대 한 요구는 주기 억안과 그리고 디스크와 레프 
상에 있는 자료에 대한 모든 접근을 조정하여야 한다는것을 의미한다. 순수 쏘프트웨어 
로 실현하는것은 실제적으로 지나치게 많은 수행부담을 준다. 해결책은 하드웨어에서 적 
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어도 일부분을 담당하여야 한다는것 이다. 고립에 대한 요구는 공격자가 아무리 재간이 
있다고 해도 참조감시기의 론리나 보안핵심부자료기지의 내용을 변화시킬수 없게 한다는 
것을 의미한다. 이와 갈은 검증을 제공할수 있는 체계를 신용체계라 고 한다. 

그림 16-4 에 보여 준 마지 막요소는 검 열 파일 이다. 검 출된 보안위 반과 그리 고 보안핵 
심부자료기지에 대한 권한이 부여된 변화와 갈은 중요한 보안사건들은 검열파일에 기억된 
다. 1981년에 미 국방성 은 자기 자신의 요구와 민 간봉사를 만족시 키 기 위해 국가보안국 
(NSA) 내 에 신용콤퓨터체계의 폭 넓은 리용을 장려할 목적으로 를퓨터보안쎈터를 설립하 
였 다. 그 목적 은 쎈터 의 상품평 가프로그람에 의해 실현된다. 본질에 있어서 쎈터의 의 도 
는 보안요구를 만족하는 상업상 유용한 제품을 평가하는것 이 다. 쎈터는 평가된 상품들을 
그것들이 제공하는 보안특징의 범위에 따라 분류한다. 이러한 평가들은 국방성에 필요하 
였지만 공개되여 자유롭게 쓰이고 있다. 이때부터 그것들은 상업상 유용한 즉 기성설비를 
구입하는데 서 상업 고객 들의 안내 로서 봉사할수 있 었 다. 



주동체 


참조감시 기 


1 

(방책) 


객체 

、 ) 




1교고 



주동체:보안통과허가 
객체:보안분류 


그림 16-4. 참조감시기 의 개 념 


트로이목마방어 

트로이 목마에 대 해 안전한 한가지 방법 은 안전하고 믿 음직한 조작체 계 를 리용하는것 
이다. 그림 16-5 에 실례를 보여 주었다. 이 경우에 트로이목마는 대부분의 파일관리와 
조작체 계 가 리 용하는 표준보안기 구 즉 접 근조종목록을 우회하는데 리 용한다. 


499 






그림 16-5. 트로이목마와 안전한 조작체계 


이 실례 에서 Doe 라고 부르는 사용자는 절대비밀 인 기 호렬 “ CPE 1704 TKS ” 을 포함 
하는 자료파일을 가진 프로그람을 통해 대 화한다. 사용자 Doe 는 자신을 위해서 실행되 
는 프로그람에만 제공되는 읽기/쓰기허가를 가진 파일을 만든다. 즉 이것은 Doe 가 소유 
한 처리들만이 파일에 접근할수 있다는것 이다. 

Drake 라고 부르는 적측사용자가 체계에 대한 합법적인 접근을 하려 할 때 트로이목 
마공격 이 시작되며 이것은 트로이목마프로그람과 “뒤주머니 (back pocket ) ” 로서 공격 
에 리용되는 비공개파일을 둘다 설치한다. Drake 는 이 파일에 대해 자기자신에게는 읽 
기/쓰기허가를 주며 Doe 에게는 쓰기허가만을 준다(그림 16-5 의 1). Drake 는 이계는 
이 파일 이 가치 있는 응용프로그람이라고 광고함으로써 Doe 가 트로이목마프로그람을 호 
출하도록 유도한다. 트로이목마프로그람은 Doe 가 실행하고 있다는것을 검출하였을 때 
Doe 의 파일로부터 비밀기호렬을 복사하고 그것을 Drake 의 back-pocket 파일에 복사한 
다(그림 16-5 의 l ). 읽기/쓰기의 두 연산은 접근조종목록의 제약조건을 만족시킨다. 다 
음 Drake 는 기 호렬의 값을 알기 위해 그후에 자기 의 파일 에 접 근만 하면 된다. 

이제 이 씨나리오에서 안전한 조작체계를 리용한다고 하자(그림 16-5 의 r ). 보안준 
위들은 를퓨터가 접근되여 있고 사용자가 통과암호/ ID 에 의해 식별되는것으로 포함되는 
말단과 같은 기준에 기초하여 가입할 때 에 주동체 에 할당된다. 이 실례 에는 두가지 보안 
준위 즉 비밀은 공개보다 더 높은 준위에 있도륵 순서화한 비밀과 공개가 있다. 처리공 
정들은 Doe 가 소유하며 Doe 의 자료파일에 비밀보안준위 가 할당된다. Drake 의 파일과 
처리공정들은 공개보안준위로 국한된다. Doe 가 트로이목마프로그람(그림 16-5 의 근)을 
호출하면 트로이목마프로그람은 Doe 의 보안준위를 엄는다. 따라서 이 프로그람은 단순 
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한 보안속성 하에서 비밀기 호렬을 얻 을수 있다. 그러 나 프로그람이 공개 파일 ( back - 
pocket 파일) 에 기호렬을 기억시키려고 할 때 속성에 위반되며 이러한 시도는 참조감 
시기에 의해 허가되지 않는다. 그러므로 back - pocket 파일에 쓰러는 시도는 접근조종목 
록이 그것을 허가하였다 할지 라도 거부된다. 즉 보안방책은 접근조종목록기구보다 우선 
권을 가전다. 
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문 제 

1. 다중준위 안전체 계 에서 《no read up 》 규칙의 필요성 은 매우 명백하다. 《no 
write down 》 규칙의 중요성은 무엇 인가? 

2. 그림 16-5 에서 트로이목마복사-관찰사슬의 한개 고리가 끊어 졌다. Drake 에 
의한 가능한 두가지 공격방법 이 있다. 즉 Drake 는 가입하여 직접 기호렬을 읽 
으려고 하며 back - pocket 파일에 비밀보안준위를 할당한다. 참조감시기는 이 
공격을 막을수 있겠는가? 
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부특 16 : 암호학과 망보안의 강의를 위한 실습과제 


많은 교원들은 실습과제들의 실현이 암호학과 망보안을 완전히 리해하는데서 매우 
중요하다고 보고 있다. 실습과제들이 없이는 학생들이 구성부분들중의 일부 기본개념블 
과 호상작용들을 원만히 파악할수 있다. 실습과제들은 책에서 나오는 개념들을 더 보충 
하고 학생들에게 암호학적 알고리듬과 작업규약들이 어떤것인가에 대한 폭 넓은 인식을 
주며 학생들이 취미를 가지게도 하고 그들이 보안능력을 구체적으로 리해할수 있을뿐아 
니 라 실현할수도 있다는 자신심을 가지게 한다. 

이 책에서 저자는 암호학과 망보안에 대한 개념들을 될수륵 구체화하기 위해 약 140 
개 의 숙제문제 들을 제 시하였 다. 그러 나 적 지 않은 교원들이 실습과제 로서 그 자료를 보 
충할것이라고 본다. 부록에서는 이러한 관점에서 간단한 안내를 주고 교수안을 작성하는 
데 도움으로 될수 있는 자료들을 주었 다. 그러한 자료는 다음과 같은 3가지 실습과제 로 
되여 있다. 

• 연구실습과제 

• 프로그람작성 실 습과제 

• 읽기/보고서실습과제 


1. 연구실습과제 

과목에서 배운 기본개념들을 구체화하고 학생들에게 연구방법을 가르치는 효과적 인 
방법은 연구실습과제를 선정하는것이다. 이와 같은 실습과제는 인터네트를 통해 상품판매 
자를 조사하는것과 갈은 문헌조사，실험연구，표준화로 되여 있다. 실습과제들은 소조별로 
줄수도 있고 더 작은 실습과제들은 개별적으로 줄수도 있다. 어쨌든 교원들이 적당한 제 
목과 시간수에 대한 계획을 세울수 있도록 시간을 보장함으로써 학기초에 실습과제안을 
분류하도록 하는것 이 제 일 좋다. 학생들에게 다음과 갈은 연구실습과제들을 줄수 있다. 

• 계획에 대한 양식 

• 마지막보고서에 대한 양식 

• 중간과 마감경계에 대한 계획 

• 가능한 대상과제제목들의 목록 

대 학생들은 렬거된 제목들에서 어 느 하나를 선택하거 나 그것들과 류사한 실습과제를 
생각해 낼수 있다. 교원용참고서에는 15개의 가능한 연구제목의 목록은 물론 계획과 마 
지 막보고서에 대 한 양식 이 들어 있 다. 
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2. 프로그람작성실습과제 

프로그람작성실습과제는 효과적인 교육방법이다. 현존 보안기교의 부분으로 되지 않 
는 단독프로그람작성실습과제들에는 여러가지 흥미 있는 특징들이 있다. 

1. 교원은 실습과제를 암호학과 망보안개념의 넓은 분야에서 선정 할수 있다. 

2. 실습과제들음 학생들이 임의의 콤퓨터에서 임의의 적합한 언어로 프로그람을 작성 
할수 있게 한다. 즉 실습과제 들은 가동환경 이 나 언어 에 무관계하다. 

3. 교원은 실습대상과제 에 대 한 임의의 개 별적 인 하부조직을 설 치 하고 구성할 필요가 
없다. 

실습과제 들의 크기 도 각이할수 있 다. 보다 큰 실습과제 들은 대 학생 들에 게 큰 포부를 
주지만 능력이 낮거나 조직적수완이 부족한 학생들은 뒤떨어 질수 있다. 보다 큰 대상과 
제 들은 보통 우수한 학생 들이 진지한 노력 을 발휘하게 한다. 가장 작은 실습과제 들에서 
는 개념 대 코드의 비률이 더 높고 그것들중 많은것들을 선정할수 있으므로 서로 다른 
령역들을 취급할수 있다. 

한편 연구실습과제와 마찬가지로 대학생들은 처음에 계획을 제출해야 한다. 대학생 
들의 견본품은 1에서 서술한것과 갈은 요소들을 포함할것이다. 교원용참고서에는 12개의 
가능한 프로그람작성대상과제들이 들어 있다. 

교원용참고서 에 제 안한 연구와 프로그람작성 대 상과제 들을 보충한 사람들은 꼴롬비 아 
종합대 학의 Henning Schulzrinne , 오렌곤주종합대 학의 Cetin Kaya Koc 와 그리 고 신 
용정 보체 계 와 죠지 워 싱 톤종합대 학의 David M . Balenson 이 다. 


3. 읽기/보고서실습과제 

과정안의 개념을 구체화하며 대학생들에게 연구경험을 주는 다른 좋은 방법은 문헌 
들에서 읽고 분석하여 야 할 론문들을 선정하는것 이 다. 다음과 갈은 선정 이 있을수 있다. 

연구문헌에서 론문을 읽고 보고서를 작성한다. 보고서는 한두폐지로 작성할수 있다. 
보고서내 용의 4분의 3은 론문에 대 한 개 요이고 나머 지 가 평 론부분으로 된 다. 교과서 의 《 참 
고문헌》부분에서와 갈은 양식을 리용하여 보고서에 론문의 형식적 인용방법을 적용한다. 

교수안에는 지정된 론문들에 대한 목록란이 들어 있다. 모든 론문들은 인터네트를 
통해서든가 임의의 해당한 대학과학도서관에서 쉽게 볼수 있다. 도서의 매장마다 론문들 
이 소개되 여 있 다. 
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용어해설 


강 제 적 접 근 조 종 (Mandatory Access 
Control) 

사용자들 그리고 파일들과 다른 대상들 
에 할당된 고정된 보안속성들에 기초하 
여 대 상에 대 한 접 근을 제 한하는 방법 이 
다. 조종을 사용자나 그들의 프로그람에 
의해 변경할수 없다는 의미에서 위임이다. 
공개열쇠 (Public Key) 

비대칭암호체계에서 리용되는 두 열쇠중 
의 한 열쇠이다. 공개열쇠는 대응하는 
비공개열쇠와의 련결에 리용하기 위해 
공개된다. 

공개열쇠암호 (Public Key Encipher) 

비 대 칭 암호 

계산학적으로 안전한 (Computationally 
Secure) 

보안을 파괴하는 비용과 시 간을 and/or 
한것 이 실행할수 없을 정 도로 너 무 커서 
안전한것을 말한다. 

도식 (Diagram) 

두 글자렬이다. 영어와 다른 언어로 작성 
된 평문에 대한 여러 도식의 상대적인 빈 
도수는 일부 암호의 암호분석에 리용할수 
있다. Diagraph (분도자)라고도 부론다. 

대칭암호 (Symmetric Encryption) 

암호화와 복호화를 같은 열쇠를 리용하 
여 진행하는 암호형식이다. 전통암호라 
고도 한다. 

대화열쇠 (Session Key) 

두 사람사이에 리용하는 림시 암호화열쇠 
이다. 

론리폭탄 (Logic Bomb) 

론리는 체계에 나타나야 할 일정한 조건 
모임 에 대해 검사하는 를퓨터프로그람의 
한 부분으로 되여 있다. 이 조건들을 만 
족할 때 부당한 동작들의 결과인 어떤 
기능이 실행된다. 


모조란수생성기 (Pseuck)『andom Number 
Generator) 

겉 보기 통계 적 우연수인 수렬 을 결정 론적 
으로 만드는 함수이 다. 

무조건적ᄂ으로 안전한 비밀 (Unconditionally 
Secure) 

아무리 무한한 시간과 무한한 콤퓨터자 
원을 가진 적수에 대하여서도 안전한 비 
밀이 다. 

박테리아 (Bacteria) 

자기자신의 복제로 하여 체계자원을 소 
비하는 프로그람이다. 

변환통로 (Covert Channel) 

통신시설의 설계 자가 의도한것과는 다른 
방법으로 정보를 이송할수 있는 통신로 
이 다. 

복호호 KDecryption) 

암호화된 본문이나 자료(암호문이 라고 
부른다.)를 본래의 본문이나 자료(평문 
이라고 부론다.)로 변환하는것이다. 분 
석 이 라고도 부른다. 

부호 (Code) 

정보의 일부(즉 글자，단어，성구)를 반 
드시 갈은 부류의것이 아닌 다른 대상으 
로 치환하는 일정한 규칙이다. 일반적으 
로 의미를 숨기려고 하는것은 아니다. 실 
례 로 ASCII (매 기 호는 7 bit 로 표현된다.) 
와 빈도수-밀기 열쇠 (매 2진값은 개 별적 인 
빈도수를 나타낸다.)를 들수 있다. 

M 로크련쇄 (Block Chaining) 

현재 의 평문입 력블로크와 열 쇠뿐아니 라 
이전의 입력과 출력을 and 八) r 한것을 출 
력 블로크로 하는 대 칭블로크암호화에 서 
리 용하는 수속이다. 블로크사슬의 효과 
는 두개의 갈은 평문입구블로크를 암호 
분석이 보다 어려운 서로 다른 암호문블 
로크로 만드는것이다. 
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M 로크암호 (Block Cipher) 

평문비트들의 큰 블로크(일반적으로 
64 bit ) 를 같은 길이의 암호문블로크로 
변환하는 대 칭암호화알고리 듬이 다. 
비공개열쇠 (Private Key) 

대칭암호화체계에서 리용하는 두개의 열 
쇠중 한 열쇠를 말한다. 비밀통신에서 
비공개열쇠는 그것을 만든 사람만이 알 
수 있 다. 

비대칭암호화 (Asymmetric Encryption) 

암호화와 복호화에 두개의 서로 다른 열 
쇠를 리용하는 암호체계형식인데 한 열 
쇠는 공개열쇠이고 다른 열쇠는 비공개 
열쇠 이 다. 공개 열쇠 암호화라고도 한다. 

비루스 (Virus) 

한개 혹은 그이상의 다른 프로그람에 삽 
입될수 있도록 자가복제를 생성하는 프 
로그람안에 들어 있는 코드이다. 비루스 
는 전염외에 보통 어떤 바람직 하지 않 
는 기능을 수행 한다. 

비밀열쇠 (Secret Key) 

대 칭 암호체계 에서 리 용하는 열쇠 이 다. 
쌍방은 같은 열쇠를 가져야 하며 그 열 
쇠는 안전한 통신을 위해 비밀로 되여야 
한다. 

사태효과 (Avalanche Effect) 

평문이나 열쇠의 작은 변화가 암호문의 
큰 변화를 일으키게 하는 암호알고리듬 
의 특성이다. 하쉬코드에서의 사태효과 
는 통보문의 작은 변화가 통보문개요의 
큰 변화를 일으키게 하는 특성 이 다. 

수자서명 (Digital Signature) 

서명코드를 첨 가한 통보문을 만들게 하 
는 인증기구이다. 서명은 원천지(보낸 
사람)와 통보문의 완정성을 보증한다. 
신용체계 (Trusted System) 

주어 진 보안방책을 실현한것을 검증할 
수 있는 콤퓨터와 조작체계 이 다. 

자의 적 접 근조종 (Discretionary Access 
Control) 

객체들에 대한 접근을 그들이 속한 주동 
체나 그롭들의 식별에 기초하여 제한하 


는 방법 이 다. 확실 한 접 근허 가를 가지 는 
주동체는 임의의 다른 주동체 (강제적접 
근조종에 의해 제한되지 않을 때까지)에 
대 한 허 가(아마 간접적으로)를 통과할수 
있다는 의미에서 조종들은 임의로 결정 
€ 다. 

전■암호화 (Conventional Encryption) 

대 칭 암호화 
주열소 KMaster Key) 

열쇠 배 포센터 와 웃준위 사이 의 대 화열쇠 
들의 전송을 암호화할 목적 으로 리용하 
는 매우 긴 열쇠이다. 일반적으로 주열 
쇠는 암호가 아닌 수단으로 배포된다. 
열쇠 암호화열쇠 라고도 한다. 

재연공격 (Replay Attacks) 

이미 권한이 부여되여 완수된 봉사가 다 
른《복제요구》에 의하여 권한이 부여 
된 지령을 반복하려는 시도에서부터 위 
조되는 공격 이 다. 

차분암호분석 (Differential Cryptoanalysis) 

매 XOR 차패 턴에 의해 선택한 평문을 
암호화하는 기술이다. 암호문의 결과인 
차패런은 암호열쇠를 결정하는데 리용할 
수 있는 정보를 제공한다. 

초기화백토르 (Initialization Vector) 

블로크련쇄 암호화기술을 리용할 때 다중 
평 문블로크를 암호화하기전 에 리 용하는 
우연수자료블로크이다. IV 는 평문기초 
공격 을 좌절 시 키 는것 으로써 봉사한다. 

침입자 (Intruder) 

콤퓨터체계에 대한 부당한 접근이나 특 
권을 얻으러고 하는 혹은 엄은 사람이 다. 
통과암호 (Password) 

식별자를 인증하기 위해 리용하는 기호 
렬 이 다. 통과암호와 그와 관련한 사용자 
ID 의 지식은 이 사용자 ID 와 관련한 자 
격 들을 리 용하기 위 한 권 한증명 이 라고 
볼수 있다. 

틍보문개요 (Message Digest) 

하쉬 함수 

통보문인증쿄드 (MAC) 

암호학적검사합 
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트로이목마 (Trojan Horse) 

보안을 파괴하기 위해 처리공정에 접근 
할수 있는 합법적 인 권한을 몰래 리용하 
는 추가적 인 (숨은) 기능을 가지는 쓸모 
있어 보이는 콤퓨터프로그람이 다. 

평문 (Plaintext) 

암호화함수의 입력 혹은 복호화함수의 
출력이 다. 

하쉬함수 (Hash Function) 

변하는 길이를 가지는 자료블로크나 통 
보문을 하쉬코드라고 부르는 고정된 길 
이를 가지는 값으로 넘기는 함수이다. 
함수는 보호할 때 자료나 통보문에 대 한 
인증자를 준다는 의미에서 설계한다. 통 
보문개요라고도 한다. 

한방향함수 (One Way Function) 

함수값계산은 쉽게 할수 있지만 거물계 
산은 할수 없는 함수이 다. 

한번쓰기정보 (Nonce) 

한번만 리용되는 식별자나 번호이다. 

함정문 (Trap Door) 

표준적으로 접근을 인증하는 방법 이 없 
이 접근하는데 리용하는 프로그람에로의 
나타나지 않은 비밀입구점이다. 

함정문한방향함수 (T 『 ap-Do 아 One-Way 
Function) 

쉽게 계산할수 있는 함수이다. 이것의 
거끌계산은 정확한 특권정보를 알기전까 
ᅭ지는 계산할수 없다. 

室란 (Confusion) 

암호문의 통계 량과 암호열쇠의 값사이의 
관계를 될수록 복잡하게 하는 암호기술 
이다. 이것은 열쇠와 입력값에 관계되는 
복잡하고 불규칙적 인 알고리듬을 리용하 
여 달성한다. 

흐 ■ 암호 (Stream Cipher) 

평 문입 력 의 흐름으로부터 암호문출력 을 
비트-비트 혹은 바이트-바이트로 만드는 
대 칭 암호알고리 듬이 다. 

확산 (Diffusion) 

개 개 의 개별적인 평 문수자가 많은 암호문 
수자들에 영향을 줌으로써 평문의 통계학 
적구조를 애매하게 하는 암호학적기술이다. 


암호 (Cipher) 

암호화와 복호화알고리 듬이 다. 암호는 
의미를 숨기려는 목적에서 정보토막(평 
문의 요소)을 다른 대상으로 치환한다. 
일반적으로 치환규칙은 비밀열쇠에 의해 
조종된다. 

암호문 (Ciphertext) 

암호알고리듬의 출력 이며 통보문이나 자 
료의 암호화된 형식이다. 

암호분석 (Cryptanalysis) 

정보를 회복하기 위해 암호를 파괴하거 
나 혹은 인증하여 접수할수 있는 암호화 
된 정보를 위조하는것과 관련되는 암호 
학의 한 분야이 다. 

암호학 (Cryptography) 

통보문의 기밀성과 신뢰성의 and / or 를 
믿게 하는 암호화와 복호화알고리듬의 설 
계와 관련한 암호연구의 한 분야이 다. 

암호학적검사합 (Cryptographic Checksum) 

인증하여야 할 자료와 비밀열쇠에 관한 
암호학적함수가 있는 인증자이다. 통보 
문인증코드 ( MAC ) 와 관련되여 있다. 

암호호 K 티 lcryption) 

평문이나 자료를 변환표나 알고리듬에 
기초하여 거물변환방법으로는 알기 힘든 
형태로 변환 하는 방법이다. 
Enciphering 이라고도 부론다. 

암호연구 (Cryptology) 

암호학과 암호분석학을 둘 다 포함하는 
비밀통신에 관한 연구이다. 

여러준위보안 (Multilevel Security) 

분류한 자료의 다중준위를 통과하는 접 
근조종을 실시 하는 능력 이 다. 

여러준위암호화 (Multilevel Encryption) 

평문을 암호문으로 더 복잡하게 넘기기 
위해 서로 다른 열쇠들로써 암호화함수 
를 반복리용하는 방법 이 다. 

열쇠배포쎈터 (Key Distribution Center) 

웃준위에 림시대화열쇠를 보내는 권한을 
가진 체 계 이 다. 매 대 화열 쇠는 열쇠 배포 
쎈터가 목적지상급과 공유하는 주열쇠를 
리용하여 암호화한 형태로 전송된다. 
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인증 (Authentication) 

전송된 자료 특히 통보문의 완정성을 검 
증하는데 리용되는 방법 이다. 

인증자 (Authenticator) 

수신자가 통보문을 믿을만 하다는것을 
검증할수 있도륵 통보문에 첨가한 추가 
적 인 정보이 다. 인증자는 기능적으로 통 
보문자체의 내용과 독립 일수 있거 나(즉 
한번쓰기 정 보이 거 나 원천지 식 별 자) 통보 
문내용에 관한 함수로 될수 있다(즉 하 
쉬 값이 거 나 암호학적 검 사합) . 

웜 (W 아 m) 

자기 자신을 복제 하여 망접속을 통해 콤 


퓨터로부터 콤퓨터에로 복사물을 보내는 
프로그람이다. 웜은 도착하여 다시 복제 
되며 전염될수 있다. 전염외에 월은 보 
통 어떤 바라지 않는 기능을 수행한다. 

Kerberos 

프로젝 트아쎄 나 (Project Athena ) 코 드 
에 인증봉사를 주는 이름이다. 

RSA 알고리듬 (RSA Algorithm) 

모드대수의 제곱에 기초한 공개열쇠암호 
알고리듬이다. 이 알고리듬만이 일반적 
으로 공개 열쇠 암호에서 실용적 이며 안전 
하다고 인정되여 있다. 
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보안핵심부자료기 지 (Security kernel 
database) 598 
복호화 (Decryption) 71 
보안꾸밈새 (Security mechanisms) 
10 , 11-12 

보안 , ~ 에 대한 칸의 정의 (Security, 

Kahn’ s definition of) 28 
봉사위협 (Service threats) 18 
부분열쇠생성 (Subkey generation) 

분산침입검출 (Distributed intrusion 
detection) 469-471 
분산제계와 보안 (Distributed systems, 
and security) 8 

분산열쇠조종 (Decentralized key control) 
141-142 

불규직 시 간지 연 과 시 간맞추기 공격 

(Random delay, and timing attack) 
171 

불규직 S - 통설계 (Random S-box design) 
80 

불법행위자 (Misfeasor) 449 
불변지수시간과 시간맞추기 공격 (Constant 
exponention time, and tinning 
attack) 171 

블로크암호 (Block ciphers) 25 
비거절과 보안봉사 (Nonrepudation，and 
security services) 11,16 
비루스 (Viruses) 18, 21, 449-450, 471- 
484 

비루스교환게 시판 (Vims exchange 
bulletin board) 479 
비루스창조도구 (Virus-creation toolkit) 
479 

비루스의 발병단계 (Triggering phase, 
viruses) 475 

비밀열쇠 (Secret keys) 157 


비밀열쇠 , 정의 (Private key,defined) 

157 

人 

사람이 만든 S 통 (Man-made S-boxes) 
80 

사용자침해 (User trespass) 449 
서로 소인 수 (Relatively prime numbers) 
200-201 

서명신용 □ ᅡ당 (Signature trust field) 

350 

선로도청 ( 니 ne tapping) 452-453 
선택본문공격 (Chosen-text attack) 26- 
27 

선택평문공격 (Chosen-plaintext attack) 
26-27 

선택암호문공격 (Chosen-ciphertext 
attack) 26-27 

선형암호분석 (IJnear cryptanalysis) 76- 
77 

소극적공격 (Passive attacks) 14-15 
소극적 공격 으로서 의 통보문내 용의 공개 

(Release of message contents,as 
passive attack) 14 
소유자신용마당 (Owner trust field) 350 
속임 , ~ 에 대한 운 d 인 (Cheating,reasons 
for) 12 

수론 (Number theory) 197-255 
수자면역제계 (Digatal immune system) 
482-484 

수자서명 (Digital signatures) 20, 158, 
285-288 

수자서명표준 (DSSMDigital Signature 
Standard) 296-300 
수자서명 알고리듬 (DSAKDigital Signat 
니 re Algorithm) 297-300 
수학적으로 만든 S 통 (Math-made S- 
boxes) 80 

스텔스비루스 (Stealth viruses) 479 
시간공격 , RSA 알고리듬 (Timing attacks, 
RSA algorithm) 170-172 
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시간관계변경 (Timing modification) 226 
시간도장□ᅡ당，검출용검열 기록 (Time- 
Stamp field, detection-specific 
audit records) 464 

시험을 동반하는 S- 통에 대한 불규직적인 

설계 (Random design with testing, 
for S-boxes) 80 

신원 보호통보문교환 (Identity Protection 
Exchange) 404 

신용제계 (Trusted systems) 496-500 
실행단계, 비루스 (Execution phase, 
viruses) 475 

생일공격，하쉬함수 (Birthday attacks, 
hash functions) 244-245 

天 

자격증 (Capability tickets) 597 
자원사용 □ ᅡ당, 검 출용검 열 기록 (Resource- 
Usage field,detection — specific audit 
records) 464 

작용 □ ᅡ당,.■출용검열기록 (Action field, 
detection-specific audit records) 
464 

작은 쪼각공격 (Tiny fragment attacks) 
492 

잠복단계, 비早스의 (Dormant stage, 
viruses) 475 

적극적공격 (Active attacks) 15 
적 극적 공격 으로서 봉사거 절 (Denial of 
service, as active attack) 15 
적극적공격으로서의 재연 (Replay, as 
active attack) 15 
전송기밀담보 (Traffic confidentiality) 
135-136 

전송린접성 (Transport adjacency) 397 
전송층보안 (Transpoil layer security) 
433-437 

전송런넬묶음 (Transport-tunnel bundle) 
397 


전자문서와 보안 (Electronic documents, 
and security) 10 
전자부호책 (ECB) 방식 (Electronic 
codebook(ECB)mode) 80-82 
전자투과 (Steganography) 28-29 
전자우편보안(티 ectronic mail security) 
336-377 

전치기술 (Transposition techniques) 
42-43 

전통암호 (Conventional encryption) 

전통암호화기술 (Classical encryption 
technique) 29-45 

전염단계 , 비루스으 I (Propagation phase, 
viruses) 475 

접근조종 (Access control) 456 
접근조종목록 (Access control lists) 496 
접근행렬 (Access matrix) 496 
정보교환 (Informational Exchange) 404 
정보보안 (lnf omia tj on security) 5 
정보접근위협 (Infomiation access 
threats) 18 

정보완정성기능 (Infomiation integrity 
functions) 11 

주동제, 검출용검열기록 (Subject field, 
detection-specific audit records) 
464 

주열쇠 (Master key) 137 
중간대조공격, 2 중 DES(Meet-in-the- 
middle attack, double DES) 93 
중국나머지정리 (Chinese remainder 
theorem) 215-217 
중재수자서명 (Arbitrated digital 
signatures) 286-288 
증명서-검증통보문 (Certificate_verify 
message) 436 

지불인증 (Payment authentication) 
445-447 

직접수자서명 (Direct digital signatures) 
286 
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차단가입자방화벽 , 단일출요새구성 

(Screened host firewall, single- 
homed bastion configuration) 494 
차단가입자방화벽, 쌍 S 요새구성 

(Screened host firewall, dual- 
homed bastion configuration) 

494 

차단부분망방화벽 구성 (Screened subnet 
firewall configuration) 495 
차분암호분석 (Differential cryptanalysis) 
74-77 

참조갑시기의 개덤 (Reference monitor 
concept) 498 

접보활동, 칸의 정보수집에 대한 정의 
(Intelligence, Kahn’ s definition of) 
28 

추축공격 (Guessing attacks) 451 
출구반결합 (OFB) 방식 (Output 
feedback(OFB) mode) 86 
침해 (Trespass) 449 
침입자 (Intruders) 21,449-471 

ᄏ 

콤퓨티로 생성된 통과암호 (Computer- 
generated passwords) 457 
콤퓨 Bj 보안 (Computer security) 449 
콤퓨 E 나비상대책팀 (CERTKComputer 
emergency response teams) 450 
콤퓨티와 망보안참조 색인 (Computer 
and Network Security Reference 
Index) 22 

케자르암호 (Caesar cipher) 30-32 


타원곡선암호(티 liptic curve 
cryptography) 182-188 


통계적 비정상검출 (Statistical anomaly 
detection) 463, 465-466 
통과암호 ( passwwds ) 451 
통보교환에만 기초한 인증 

(Authentication Only Exchange) 

404 

통보문암호화 (Message encryption) 
227-231 

통보문인 증부호 (MAC) (Message 
authentication codes) 232-234, 
237-241 

통신량분석 (Traffic analysis) 226 
통합전자우편제계와 비루스의 전염 

(Integrated mail systems,and virus 
propagation) 482 
투명 열쇠조종방식 (Transparent key 
control scheme) 140-141 
트로이목 [IKTraan horse) 452 

n 

파케트 - y 파 경로조종 (Packet-filtering 
routers) 490-492 
평문 (Plaintext) 23,25 
포작요구통보문 (Capture Request 
message) 447 

포작응답통보문 (Capture Response 
message) 447 

프로그람작성 실 습과제 (Programming 
projects) 502-503 

페르□ᅡ의 정리 (Fermat’ s theorem) 207 
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하쉬함수 (Hash functions) 235-237 
하쉬알고리듬 (Hash algorithms) 241- 
247 

한방향암호화 (One-way encryption) 456 
한방향인증 (One-way authentication) 
294-296 

한번쓰기받치개 (One-time pad) 42 
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함수 F 설계 (Function F design) 78-80 
함정문 (Trap doors) 472 
현혹시키기 및 시간맞추기공격 

(Blinding,and timing attack) 172 
호상련결망보안 (Internetwork security) 

17 

호상인증 (Mutual authentication) 289- 
294 

흐름암호 (Stream ciphers) 56 
힘내기공격 (Bmte-force attacks) 248- 
249 

릴암호 (Hill cipher) 36-38 
회전기계 (Rotormachines) 43-45 

ᆻ 

쏘프트웨어침해 (Software trespass) 

449 

씨수 (Prime numbers) 197 
씨수성 , ~에 대한 검사 (Piimality,testing 
for) 211-212 

씨수와 서로 소 (Prime/relatively prime 
numbers) 197-201 

O 

안전한 소케트층 (SSL)(Secu「e socket 
layer) 425-426 

안전한 전자트랜적션 (SETKSecure 
electronic transaction) 437-447 
암호명세서 (CipherSpec) 429 
암호문 (Ciphertext) 23 
암호문공격 (Ciphertext only attack) 25 
암호문반결합방식 (CFM)(Cipher feedback 
mode) 83-86 

암호분석 (Cryptanalysis) 25-27 
암호블로크련쇄 방식 (CBC)(Cipher block 
chaining(CBC)mode) 82-86 
암호학 (Cryptography) 25 
암호학 FAQ(Cryptography FAQ) 22 


암호학적 열쇠 (Cryptography keys) 342- 
348 

암호학적 으로 안전 한 모조란수비 트생 성 기 

(CSPRBG)(Cryptographically secure 
pseudorandom bit generator) 150 
암호화 Encrypt k)n 11 
약수 (Divisors) 197 
여려준위보안 (Multilevel security) 498 
연구실습과제 (Research projects) 502 
열쇠고리 (Key rings) 345-348 
열쇠교환과 공개 열쇠암호제 계 (Key 
exchange, and public-key 
cryptosystems) 160-162 
열쇠관리 (Key management) 172-179, 
395-405 

열쇠배포 (Key distribution) 136-144 
열쇠배포기술 , 정의 (Key distribution 
technique,defined) 136 
열쇠사용법 , 조종 (Key usage, 
controlling) 142-144 
열쇠식별자 (Key identifiers) 343-345 
열쇠생성 , RSA 알고리듬 (Key generation, 
RSA algorithm) 167-168 
열쇠합법성마당 (Key legitimacy field) 

350 

열쇠확장 (Key expansion) 

오일레르정리 (Euler’ s theorem) 209- 
210 

2 일러 I 르함수 (Euler’ s totient function) 
208 

요구개시통보문 (Initiate Request 
message) 442 

요새가입자 (Bastion host) 493-494 
유클 리드알고 리듬 (Euclid’ s algorithm) 
212-215 

응답개시통보문 (Initiate Response 
message) 442 

응용준위관문 (Applicatbn-level gateway) 
492 

이동성 프로그람제계와 비루스전염 
(Mobile-program systems,and virus 
propagation) 482-484 
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인증 (Authentication, 引 :n) 20 
인증 , ~0fl 대한 공격 (Authenticity, 
attack on) 14 

인증규약 (Authentication protocols) 
288-296 

인증머리부 (Authentication Header) 
387-391 

인증자 (Authenticator) 159 
£JMS(Authentication applications) 
305-331 

인 E 나네트보안관련과 열쇠관리규약 
(ISAKMPKIntemet Security 
Association and Key Management 
Protocol) 399 

읽고 보고서 만드는 과제 (Reading/report 
assignments) 503 
Of 비출력 (Preoutput) 65 
위법프로그람 (Malicious programs) 471- 
475 

위조 , 보안공격으로서 (Fabrication, as 
security attack) 14 
《월리해커》사건 (1986-87)( “Wily 
Hacker” incidentd 986-87)) 450 
완정성 (Integrity) 

원전지 경 로조종공격 (Source routing 
attacks) 492 
원 (Worms) 19,21,474 

* * * 

1 세대스캐너 (First-generation scanner) 

481 

2 세 대 스 2H 너 (Second-generation 
scanner) 481 

2 중 DES(Double DES) 91 

3 세대스캐너 (Third-generation scanner) 

481 

3 중 DES(Triple DES) 91-96 

4 세 대 스 캐 너 (Fourth-generation 
scanner) 481 


ANSI X9.17 모조란수생성 기 (ANSI 
X9.17pseudorandom number 

generator) 148 

Bell Labs, ~에서의 침입자의 공격 (Bell 
Labs,intruder attacks at) 450 
Blowfish 107-112 

Blum,Blum,Shub(BBS)^^ 71 (Blum,Blum, 
Shub(BBS) generator) 149 
CAST-128 118-122 
COAST 22 

DES ( 자료암호화표준 ) 27,45,49-56, 64- 
72 

EIGamal 339 

Ephermeral Diffie-Hellman 429-430 
ESP, 교갑호卜보안통신부하 (ESP)(ESP,See 
Encapsulating Security 
Payload(ESP)) 391-395 
Feistel 복호화알고리듬 (Feistel decry 
Ption algorithm) 62-64 
Feistel 암호 (Feistel cipher) 59-64 
Fortezza 429 
HMAC 280-283 

IDEA( 국 제 자 료 암 호 화 알 고 리 
뜸 )(lnternational Data Encryption 
Algorithm) 97-107 

IETF 보안령역 (IETF Security Area) 22 
IP 보안 (IPSec) 20 
IP 보안 (ipsec_| 378-417 
IP 주소속이기 (Ipaddress spoofing) 492 
Kerberos 20,305-322 
LUCIFER 알 고 리 듬 (LUCIFERalgorithm) 
64 

MD4 265-266 
MD5 론리 258-262 

MD5 통보문요약알고리듬 (MD5 message- 
digest algorithm) 258-267 
Mod 산수 (Modular arithmetic) 201-206 
Oakley 열쇠결정규약 (Oakley key 
determination protocol) 399-402 
Payload 형 , ISAKM(Payload types, IS 
AKM) 405-408 
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PGP(Pretty Good Privacy) 20, 336- 
353 

PGP(Pretty Good Privacy,See PGP) 

20, 336-352 

Playfair 알고리듬 Playfair algorithm 34- 
36 

RADIX-64 변환 (RADIX-64 convertion) 
373-374 
RC2 122-124 
RC5 112-118 
RIPEMD-160 273-279 
RSA 알고리듬 19,163-172,432-435 
S/MIME 353-369 


SOCKS 493 
Stoll, Cliff 450 
Tom Dunigan 의 보안페지 (Tom 
Dunigan’ s Security Page) 22 
USENET 전자신문그루 1 ᅡ와 망보안 
(USENET newsgroups,and network 
security) 22 

Vegenere 표 (Vigenere tableau) 39 
Web 보안 (Web security) 20, 418-448 
X.509 322-330 

Zimmerman,Phil 336 
ZIP 371-373 
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